事件查看器介绍
事件查看器是一个系统工具,用于查看和分析系统和应用程序生成的事件日志。事件日志记录了系统的各种操作、错误、警告和其他信息。
事件日志联机帮助
当你在事件查看器中查看事件时,某些事件可能会包含一个 "事件日志联机帮助" 的链接。这个链接旨在提供关于特定事件的在线帮助信息,以便用户更好地理解事件的含义和可能的解决方案。
这个链接通常会跳转到 Microsoft 的官方在线文档或支持页面,其中包含有关事件的详细信息、可能的原因、解决方法和其他相关信息。这样的在线帮助页面通常有助于用户在遇到问题时更好地理解和解决问题。
要查看 "事件日志联机帮助",可以按照以下步骤操作:
-
打开事件查看器:可以在运行窗口中输入 eventvwr.msc,或者通过控制面板的 "管理工具" 找到事件查看器。
-
在事件查看器中选择特定的事件,然后在事件详细信息中查找 "事件日志联机帮助" 链接。
-
单击链接,它将在默认的 Web 浏览器中打开,并显示与该事件相关的在线帮助信息。
事件日志联机帮助将用户重定向到Microsoft URL,并从以下注册表位置进行控制:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEvent Viewer
-
MicrosoftRedirectionProgram:可以修改以包含已编译的可执行文件的位置。单击“事件日志联机帮助”将显示消息框,指示代码已执行。
-
MicrosoftRedirectionProgramCommandLineParameters:允许用户修改数据值以执行命令。一个常见二进制文件,如“regsvr32”,可以用来执行无文件有效载荷
-
MicrosoftRedirectionURL:指定或配置在某些情况下要重定向到的 URL 地址
如果已获得本地管理员访问权限,则可以修改三个注册表项,以便在用户单击事件日志联机帮助后执行任意有效负载。
持久化利用思路
一句话总结:根据上述三个注册表中注册项的作用重写内容达到执行植入的恶意后门程序
Demo Poc
简单的概念证明是来触发消息框,来代替恶意程序
|
Java |
使用 MinGW 编译上面的代码以生成可执行文件。
|
Java |
修改注册表项“ MicrosoftRedirectionProgram” 以包含已编译的可执行文件的位置。单击事件日志在线帮助将显示消息框,指示代码已被执行,证明可以通过这个路子来完成持久化的后门
实战利用
使用msfvenom生成有效后门负载
MicrosoftRedirectionProgram项利用
修改下面的注册表项以映射到先前生成的有效负载在磁盘上的位置将执行有效负载·
点击“事件日志联机帮助”时,就将建立连接。
MicrosoftRedirectionProgramCommandLineParameters项利用
修改MicrosoftRedirectionProgramCommandLineParameters 项,此项需要结合MicrosoftRedirectionProgram一起使用,MicrosoftRedirectionProgram可以使用注册dll的regsvr32,然后就在Parameters中写入远程的dll,就可以直接使用远程文件来执行后门;当然此处也让MicrosoftRedirectionProgram用nc.exe 、powershell等等来做
MicrosoftRedirectionURL项利用
修改MicrosoftRedirectionURL 可以直接使用file协议,其实应该也能够支持其他的协议,这里没有仔细探讨,可以尝试下使用gopher之类的
在使用这种的方式下,系统会默认使用mmc.exe来调起恶意程序,此时恶意程序的父进程就会是mmc.exe
原文始发于微信公众号(暴暴的皮卡丘):windows持久化后门之事件查看器联机帮助
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论