权限持久化---映像劫持检测(Shift后门)

最新推荐文章于 2024-05-31 15:16:05 发布
最新推荐文章于 2024-05-31 15:16:05 发布
阅读量434 收藏
点赞数
分类专栏: 应急响应 内网渗透 文章标签: windows 渗透测试 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingzhantianxia/article/details/119953584
版权

映像劫持说白了还是利用了windows的一些特性,当你点击可执行文件进行执行时,系统并不会直接就对可执行文件进行执行,而是首先对注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,这个路径下面如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。

比较常用的是shift后门的用法。

在这个路径下,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,创建或者修改sethc.exe 如下图所示,那么可以在不登陆的情况下,点击5次shift时调出cmd 在这里插入图片描述

测试一下

在这里插入图片描述

貌似因为是系统给启动的,直接继承系统权限了。。。。

应急响应时排查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options

这个下面有没有奇奇怪怪东西就可以了。

烟雨醉沉浮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sentinel-dashboard 1.8.5 流控规则持久到ncos版
09-17
1. 限流规则 自动持久到 nacos 2. 熔断规则 自动持久到 nacos 3. 系统规则 自动持久到 nacos 启动命令 java -Dnacos.serverAddr=192.168.31.100:8848 -Dnacos.namespace=TEST -Dnacos.groupId=DEFAULT_...
React通过redux-persist持久数据存储的方法示例
10-17
主要介绍了React通过redux-persist持久数据存储的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Windows权限维持—自启动&劫持&粘滞键&辅助屏保后门&WinLogon
剁椒鱼头没剁椒的博客
08-17 1454
在Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
沾滞键shift后门
Jietewang的博客
02-05 1653
1. 简介 沾滞键的目的是为了帮助那些按键有困难的人设计的
Windows 权限维持之 Shift 后门
最新发布
Welcome To Myon'Blog !
05-31 459
正常情况下我们连按五次 shift 键会弹出粘滞键粘滞键是电脑使用中的一种快捷键,一般连按五次 shift 会出现粘滞键提示,粘滞键是专为同时按下两个或多个键有困难的人而设计的, 粘滞键开启后,可以先按一个键位,再按另一键位,而不是同时按下两个键位,方便某些因身体原因而无法同时按下多键的人。sethc.exe 就是 Windows 下的粘滞键,它的位置在 C:\Windows\System32\sethc.exe。
Windows留后门--教程(五)——shift粘贴键后门
W小哥
03-16 4183
一、shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。 (辅助功能镜像劫持是一样的原理) 二、shift粘贴键后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows Server2012 IP: 192.168.2
内网渗透之权限维持-自启动&劫持&粘滞键&辅助屏保后门&WinLogon
m0_62207170的博客
05-19 910
内网渗透之权限维持-自启动&劫持&粘滞键&辅助屏保后门&WinLogon
权限提升-烂土豆&dll劫持&引号路径&服务权限
xhscxj的博客
03-04 653
必备知识点: 令牌窃取配合烂土豆提权 单纯令牌窃取:Web 权限或本地提权 如配合烂土豆提权:Web 或数据库等权限 不带引号服务路径安全问题 服务路径提权:Web 权限或本地提权 不安全的服务权限配置问服 务权限配置:Web 权限或本地提权(Web 几率小) 补充说明:dll 劫持提权及 AlwaysInstallElevated 等说明 dll 劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋 AlwaysInstallElevated 提权默认禁用配置,利用成功机会 一、Win2.
详解在React-Native中持久redux数据
10-16
在React-Native应用中,Redux数据的持久是确保用户状态在应用重新加载或关闭后仍然保持的关键技术。Redux本身并不提供内置的持久机制,但可以通过第三方库`redux-persist`来实现这一功能。本篇文章将深入探讨...
sentinel-dashboard-nacos-1.7.1-自己修改源码实现持久.zip
05-12
该资源是针对sentinel1.7.1源码进行修改,实现与nacos持久修改的jar包,只需要启动改jar包,在nacos中配置的规则就会在sentinel中体现;同时在sentinel中修改好的,也同样会影响修改存储到nacos库中,实现持久...
sentinel-dashboard1.8.6-以nacos为持久数据源
01-21
1. 博客参考地址 https://blog.csdn.net/yang134679/article/details/128745753?spm=1001.2014.3001.5501 2. sentinel-dashboard 1.8.6 3. 以nacos为持久数据源的配置方案
C++劫持后门实例分析
09-03
主要介绍了C++劫持后门,实例分析了C++劫持后门的原理与相关实现技巧,有助于进一步了解后门的原理,需要的朋友可以参考下
个人shift后门 bat批处理版
05-01
这是一个批处理脚本,使用时,将文件命名为bat格式,再用winrar打包为exe格式,把这个exe替换系统的sethc.exe,哈哈,
shift后门加强版(含源代码)
09-10
创建管理员帐号为pkw007$ 密码为123456 牛族安全网 http://www.nzhack.net 六月安全网 http://bbs.kusu.org
权限维持新老技术
热门推荐
Shanfenglan's blog
08-04 34万+
参考资料 权限维持相关 静默宏木马 可以使用静默宏木马进行权限维持。利用cs创建宏木马插入docx文件中。 制作方法 1.利用CS生成vbs代码 2.创建一个docx文档并创建宏且将宏的位置设置为对所有的活动模版和文档,如下图所示 3.将恶意vbs代码加入到Nomal的This Document模块 4.保存文件并运行,主机上线,且以后这个电脑上的任意word文档打开后都会上线,除非删掉这个宏配置。 tips 杀软对doc文件杀软查杀力度远大于对docx文件的。 参考 静默宏木马进行
权限维持之打造不一样的劫持后门
Ms08067安全实验室
08-03 404
0x01 前言“劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行...
C语言,后门程序,C++劫持后门实例分析
weixin_30317869的博客
05-18 223
// freeheart.cpp : Defines the entry point for the console application.//学习交流使用,违法使用后果自负。// by:cnblogs.com/blogg time 2013.5.24// argv 0 = freeheart.exe// argv 1 = -i// argv 2 = name.exe// argv 3 = 1 ...
(经典)详解WINDOWS劫持技术
yxyhack's blog
09-21 4804
一. 诡异的中毒现象在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死
一个Shift后门程序,可以让你可以进入你不知道密码的电脑
杨启盛的博客
08-01 2万+
1.前提 你可以在平时亲身接触状态电脑,哪怕是在电脑主人不在的时候(虽然主人不在,或者关机了,进入电脑是要密码的)。 2.原理 利用电脑连续按5次Shift会触发粘滞键,它会运行c:\winows\system32\setchx.exe 3.Shift后门程序编写 将下面的内容保存成.bat后缀的文件,文件名你可以自己取,取的吸引人一点,他们就会点了,你懂的! 为了让别人不知道你这个程
docker数据持久 --tmpfs
10-14
/tmpfs 是一种基于内存的文件系统,可以用于 Docker 容器中的数据持久。使用 --tmpfs 标志可以将容器中的指定目录挂载到 tmpfs 文件系统上,从而实现数据的持久。 例如,以下命令将在容器中创建一个名为 mycontainer 的目录,并将其挂载到 tmpfs 文件系统上: ``` docker run -it --rm --tmpfs /mycontainer busybox ``` 在容器中,可以像使用普通文件系统一样使用 /mycontainer 目录,所有写入该目录的数据都将保存在内存中。当容器停止时,该目录中的数据将被删除。 需要注意的是,由于 tmpfs 文件系统是基于内存的,因此在容器中使用过多的 tmpfs 可能会导致内存不足。因此,在使用 --tmpfs 标志时应该谨慎。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值