各种Windows权限维持姿势

技巧总结

　　1.添加影子用户

　　2.在注册表中添加自启动后门

　　3.通过计划任务添加后门

　　4.隐藏技巧

 

具体操作

　　1.添加影子用户

　　可见Windows影子用户创建与3389连接

　　2.在注册表中添加自启动后门

　　win+r运行输入regedit，进入注册表编辑器

 　　通过

reg add "HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run" /v myPersist /t reg_sz /d "C:\Users\Administrator\Desktop\persist.exe"

　　命令，可将启动自动运行的程序添加到注册表中的相应项　

　　3.通过计划任务添加后门

　　win+r运行输入taskschd.msc，进入计划任务程序。

schtasks /create /tn TaskName /tr TaskRun /sc schedule /mo 1

　　/tn TaskName指定任务的名称。

　　/tr TaskRun指定任务运行的程序或命令。键入可执行文件、脚本文件或批处理文件的完全合格的路径和文件名。如果忽略该路径，SchTasks.exe 将假定文件在Systemroot\System32 目录下。

　　/sc schedule指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。

　　/mo modifier指定任务在其计划类型内的运行频率。这个参数对于 MONTHLY 计划是必需的。对于 MINUTE、HOURLY、DAILY 或 WEEKLY 计划，这个参数有效，但也可选。默认值为 1。

　　4.隐藏技巧

　　"真正"的隐藏文件

　　命令

attrib +s +a +h +r [文件夹]

　　+s:系统 

　　+h:隐藏 

　　+r:只读

　　加上s属性后，文件会进一步被隐藏（打开查看隐藏文件都看不见），只有使用 dir - h(ls -h) 等才能看见。

　　当文件被加上s属性后，后续操作可能没有足够的权限取操作，需要先去掉s属性才能进行后续的操作。

　　利用系统代号隐藏Webshell

　　新建一个文件夹，在里面放入东西

　　此时将文件夹改名为 Computer.{20D04FE0-3AEA-1069-A2D8-08002B30309D} ，此时刚刚的文件夹变成了我的电脑

　　通过更改文件夹名称，能更改文件夹图标和双击打开的动作（命令行模式仍可以正常使用）。但通过命令行模式仍能看见其后缀。

一些可用的代号
我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48} 
打印机.{2227a280-3aea-1069-a2de-08002b30309d} 
控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d} 
⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

　　畸形目录隐藏

　　创建畸形目录

mkdir test...\

　　在命令行中将文件移入上面的目录中，某些操作不能对其作用，如 cd,dir等 ，但可以 copy 文件进去，或者直接查看文件 

 　　并且畸形目录无法被删除,也就是说除非是专业人员,此木马长久存在。

　　删除方法：使用如下命令可删除畸形目录

rd /s /q test...\

　　利用系统保留的文件名创建无法删除的webshell

　　在Windows操作系统中，是不能以下形式创建文件的，比如aux，com1，com2，prn，con，nul等。但是在cmd目录下可以通过copy语句创建，这类文件无法在图形化界面被删除，只能在命令行中被删除。此类文件图形化看不见，命令行可以。

创建：md \\\\.\c:\com1\ 
删除: rd \\.\c:\com1\
copy 1.txt \\.\C:\aux.asp

　　创建与操作文件需要管理员权限，目录不需要 。

　　在创建时添加 \\.\ 前缀是为了便于访问，不然访问时会将目标当作一个IO设备处理。