52-2 权限维持4 - 启动项注册表键后门

狗蛋的博客之旅

于 2024-07-05 23:20:56 发布

阅读量468

点赞数 17

分类专栏： Web安全攻防全解析文章标签： web安全

本文链接：https://blog.csdn.net/weixin_43263566/article/details/140215807

版权

Web安全攻防全解析专栏收录该内容

246 篇文章 3 订阅 ¥399.90 ¥499.90

订阅专栏

超级会员免费看

简介

我们可以通过将后门程序添加到系统的启动文件夹或者注册表的运行键来实现权限的持久化。添加后门程序后，它将在用户登录时启动，并且具备与账户关联的权限级别。

一、系统启动文件夹

将程序放置在启动文件夹中会导致该程序在用户登录时自动执行。Windows 系统通常有两个常见的启动文件夹：

位于用户个人目录的启动文件夹：

# Username 是你登录账号的名称
C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

程序放置于此文件夹内将在具体用户登录时启动。

位于所有用户的启动文件夹：

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

程序放置于此文件夹内将在所有用户登录时启动。

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

狗蛋的博客之旅

关注关注

17
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

【应急响应】Windows应急响应手册（远控后门篇）

做自己喜欢的事，并将其发挥到极致！

07-19

676

本篇文章以实战攻防过程中对于远程控制和恶意程序运行等利用手段做后续的应急排查工作，根据所能获取到的信息进一步跟踪动向进行排查处置。

注册表后门持久的思考

战神/calmness的博客

09-22

957

目录准备环境过程比较说明【可执行文件留持久后门】结果上线！！！或者准备环境 windows10 虚拟机 Cobalt Strike【这里部署在Windows10上，服务器置于云上】过程远程木马控制了windows10虚拟机，利用Cobalt Strike 在Cobalt Strike下进入beacon 比较说明【可执行文件留持久后门】 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi

参与评论您还未登录，请先登录后发表或查看评论

windows权限维持的方法

小小猪的博客

01-04

6065

windows权限维持的方法影子账户：使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用户，但是在计算机管理页面中还是可以看到，需要通过修改注册表来隐藏打开注册表（HKEY_LOCAL_MACHINE\SAM\SAM），修改SAM权限，赋予adminitrators完全控制权限重启之后，将Administr.

隐藏账户的建立（注册表中查看不到的后门）

06-22

隐藏账户的建立（在注册表中查看不到的账户的建立）后门的技巧

一个不常用的小技巧

04-25

780

前几天我看了一篇技术文章，是讲述一种病毒的感染运行机制。原文中提到了一个木马启动的新的思路。（文章是两年前的，唉，看来我们要学的东西好多阿）也许某些 ~高手已经会了，但是很多人也不知道。我整理出来，结合我自己的试验，给大家简单7介绍一下。作为一个小教程，本文不涉及程序方面的知识，菜鸟老鸟都能看明白的。暂时我们只针对XP和2000系统。其他的系统我没测试过，不敢乱说！一般大家机器里都会有QQ吧

注册表及组策略后门实测手记

weixin_33976072的博客

09-06

261

实测后记录下。有兴趣的结合一下，也许能从中得到后门的放置技巧安静导入regedit /s *.reg 方法一、取消粘滞键 REG导入 sethc.reg Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys] "Flags"...

有文件实体的后门&无文件实体的后门&rootkit后门

最新发布

XXokok的博客

12-01

1238

内存马查杀、RootKit后门和一些其它后门的相关信息

内网渗透-windows权限维持的方法

lza20001103的博客

08-26

1217

windows权限维持的方法文章目录windows权限维持的方法一、影子账户二、粘滞键后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用

内网渗透-window权限维持

lza20001103的博客

09-26

2227

window权限维持文章目录window权限维持前言meterpreter权限维持persistencemetsvc系统工具替换后门iexplore.exenarratoroskutilmannotepadmsf模块开机自启动注册表项nc后门schtasks快捷方式劫持账号隐藏后记前言上期讲完了横向移动后，我们拿到了管理员的权限，当我们离开时，下一次要是还想拿到的是管理员的权限呢，难道我们还要继续一波操作提取啥的吗，其实不然，接下来将是最重要的内容，就是我们的权限维持的操作了，对于后渗透有着至关重要的

Windows找不到文件 Server Manager.lnk 服务器管理器

03-18

Windows找不到文件“C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk”。请确定文件名是否正确，再试一次。的错误。只要把Server Manager.lnk文件复制到：控制面板\系统和安全\管理工具下运行一下服务器管理器就行了。

红队专题-Perm权限提升与维持隐匿Privilege Escalation

aming小老弟

10-27

913

权限维持--基于Windows系统

weixin_53139502的博客

06-26

472

windows的粘滞键是：C:\windows\system32\sethc.exe的程序，它本是为不方便按组合键的人设计的，windows系统按5下shift后，windows就执行了system32下的sethc.exe，也就是启用了粘滞键。查看此程序的运行权限发现是当前用户但是当我们未登录系统(停留在登录界面)的时候，系统还不知道我们将以哪个用户登录，所以这个时候连续按5次shift后的话系统将会以system用户(具有管理员级别的权限)来运行sethc.exe这个程序。

【解决方法】Windows 找不到文件 ‘C:\Users\lwx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows...

upward

02-06

4003

【解决方案】windows 找不到文件 'C:\Userslwx\AppData\RoamingMicrosoft\Windows\StartMenu\Programs\Windows PowerShellWindows PowerShellInk'。请确定文件名是否正确后，再试一次。

Windows 找不到文件C: ProgramData Microsoft Windows StartMenu\Programs Administrative Tools Computer Mana

weixin_64471726的博客

02-24

1911

C盘管理无法打开，内部文件无法重命名

电脑右击此电脑，Windows找不到文件’C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Compu