Windows权限维持技巧之利用安全描述符隐藏后门服务

Windows权限维持技巧之利用安全描述符隐藏后门服务

0x01 前言

在内网渗透的时候为了防止目标关机重启等问题导致权限丢失，会采用将后门程序注册为自启动的服务(windows的服务会在开机时自动启动)，让木马跟随服务的启动来回连我们的C2服务器，而在将木马注册为服务时，可以在注册表中查看到木马的文件路径，下面将通过安全描述符(SSDL)来隐藏注册表中的值。

0x02 测试

这里用cs生成Windows service exe

使用sc命令 注册服务

sc create test binPath= C:\Users\PunchMan\Desktop\testone.exe start= auto type= own displayname= test

启动服务

sc start test

使用sc qc test命令可以直接查看到服务文件的路径