【权限维持技术】Windows屏幕保护

admin

102737
文章

87
评论

2024年2月15日20:34:52评论21 views字数 920阅读3分4秒阅读模式

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

Windows屏幕保护

屏幕保护是为了保护显示器而设计的一种专门的程序。

屏幕保护器程序一般保存为.SCR格式文件，实际上就是一个特殊的Windows可执行文件（.EXE）。这些文件通常存放在Windows系统的System32目录下。当屏幕保护器启动时，Windows系统会调用这些.SCR文件并在屏幕上显示相应的图像或动画。

原理

屏幕保护程序的相关配置都在注册表中，如下图的四个键：

【权限维持技术】Windows屏幕保护

完整路径为：

HKEY_CURRENT_USERControl PanelDesktopScreenSaveActive
HKEY_CURRENT_USERControl PanelDesktopScreenSaverIsSecure
HKEY_CURRENT_USERControl PanelDesktopScreenSaveTimeOut
HKEY_CURRENT_USERControl PanelDesktopSCRNSAVE.EXE

其中

SCRNSAVE.EXE

这个键就设置了屏幕保护对应的程序，我们只需要修改这个键路径为后门路径，只要一打开屏保就会执行后门。

复现

只需要执行下面的命令，修改注册表即可：

reg add "hkcucontrol paneldesktop" /v SCRNSAVE.EXE /d C:UsersfatmoDesktop666.exe /freg add "hkcucontrol paneldesktop" /v ScreenSaveActive /d 1 /freg add "hkcucontrol paneldesktop" /v ScreenSaverIsSecure /d 0 /freg add "hkcucontrol paneldesktop" /v ScreenSaveTimeOut /d 60 /f

检测方法

关闭屏幕保护

监听注册表此键的更改：

HKEY_CURRENT_USERControl PanelDesktopSCRNSAVE.EXE

原文始发于微信公众号（赛博安全狗）：【权限维持技术】Windows屏幕保护

左青龙
微信扫一扫

右白虎
微信扫一扫

【权限维持技术】Windows屏幕保护

PostExpKit - 20240423更新

yzmcms-pay_callback-rce漏洞复现

owasp大模型应用威胁视图理解大模型应用目前所面临的主要安全威胁

新一代供应链安全攻击面

《生成式人工智能数据应用合规指南》正式发布，5月1日实施

漏洞挖掘 | 某米企业src未授权访问

初遇内嵌WebShell的pdf文件

Hackerone 附件功能存在IDOR越权漏洞15000$

从环境搭建到内网渗透靶机

漏洞挖掘之某厂商OAuth2.0认证缺陷

发表评论

在线咨询

微信