.NET内网实战攻防
分享
扫一扫
文章平均质量分 64
dot.Net安全矩阵知识库,已成为国内最大的.NET安全社区,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分8个方向:
1) .NET安全防御绕过、本地权限提升
2) .NET内网信息收集、代理通道、横向移动
3) .NET目标权限维持、数据传输外发、痕迹清理
超级会员免费看
dot.Net安全矩阵
这个作者很懒,什么都没留下…
展开
-
.NET 通过系统计划任务维持权限
在渗透测试或恶意软件开发中,攻击者经常需要在目标系统上维持持久的访问权限,Windows计划任务是实现这一目标的有效工具之一,因为它允许攻击者在特定时间或事件触发时执行预定义的命令或脚本。下面,我们将详细介绍如何通过Windows计划任务来维持权限。Windows 任务计划程序 (Task Scheduler) 的 CLSID标识符是 0F87369F-A4E5-4CFC-BD3E-73E6154572DD,这串CLSID可以在taskschd.h文件中找到,如下图所示。原创 2025-04-03 08:00:00 · 5 阅读 · 0 评论 -
.NET 通过事件订阅实现权限维持
WMI 全称 Windows Management Instrumentation,是 Windows 操作系统中的一项重要功能,常用于管理和监控系统硬件和软件的启动和运行。而WMI 事件订阅能帮助系统管理员监听系统特定事件并在事件触发时执行预定义操作。WMI 事件订阅涉及几个关键部分,包括 EventFilter、CommandLineEventConsumer 和 FilterToConsumerBinding。这些组合使得事件订阅系统能够监听事件并执行特定的响应操作。原创 2025-04-01 10:30:13 · 16 阅读 · 0 评论 -
.NET 通过Junction Folder实现权限维持
攻击者在对目标系统进行权限维持时,除了常见的COM劫持技术,还可以利用Windows的Junction Folder结合CLSID 和注册表来实现持久化。这种方法通过创建连接文件夹和修改注册表,使得攻击者可以在系统启动时加载自定义的恶意DLL,从而保持对系统的控制。本文将详细介绍这种技术的原理、实现步骤以及相应的.NET代码示例。原创 2025-04-01 10:28:38 · 77 阅读 · 0 评论 -
.NET 通过COM劫持实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。原创 2025-04-01 10:27:52 · 10 阅读 · 0 评论 -
.NET 修改UserInitMprLogonScript键值实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。原创 2025-04-01 10:26:38 · 12 阅读 · 0 评论 -
.NET 修改系统注册表UserInit键值实现权限维持
红队可以通过修改UserInit键值将自定义的可执行文件添加到路径中,比如某个远控生成的木马后门文件,这样用户登录时自动执行该文件,从而实现权限维持。通过修改注册表UserInit键来启动自定义程序,是红队在渗透测试和攻击活动中常用的方法之一,因此需定期检查和监控。方法将UserInit键的值更新为新值,确保在用户登录时启动calc.exe,具体代码如下所示。键位于Windows注册表的路径中,所包含的值,表示指向用户登录时系统要启动的初始化程序。键的配置,有助于确保系统的稳定和安全。原创 2025-04-01 10:18:48 · 396 阅读 · 0 评论 -
.NET 调用API创建系统服务实现权限维持
在Windows操作系统中,Services服务以后台进程的形式运行的,通常具备非常高的权限启动和运行服务。因此红队往往利用.NET框架通过创建和管理Windows服务来实现权限维持。本文将详细介绍如何通过.NET创建Windows服务,以实现权限维持的基本原理和步骤。原创 2025-03-31 16:00:48 · 542 阅读 · 0 评论