Winlogon介绍
Winlogon 是一个 Windows 组件,它处理各种活动,例如登录、注销、身份验证期间加载用户配置文件、关闭、锁定屏幕等。这种行为由注册表管理,注册表定义 Windows 登录期间启动哪些进程。从攻击的角度来看,这些事件可以是执行任意有效负载以实现持久性的触发器。
持久化原理
此持久性技术的实现需要修改以下注册表项:
Shell |
实战
生成后门payload.exe
Metasploit 实用程序“ msfvenom ”可用于生成各种格式的任意有效负载。
Shell |
Metasploit handler 模块需要进行相应配置,以便在目标系统上执行有效负载时捕获连接。
Shell |
Userinit注册表键值
生成的可执行文件需要放入系统(System32)中。修改注册表项“ Userinit ”以包含任意负载将导致系统在 Windows 登录期间运行两个可执行文件(userinit.exe 和 pentestlab.exe)。
由于有效负载将被执行,Meterpreter 会话将打开。
Shell注册表键值
与上面类似的行为有“ Shell ”注册表项。
恶意负载将在 Windows 身份验证期间执行,并建立连接。
Notify键值与Dll注入
“ Notify ”注册表项通常出现在较旧的操作系统(Windows 7 之前的操作系统)中,它指向处理 Winlogon 事件的通知包 DLL 文件。使用任意 DLL 替换此注册表项下的 DLL 条目将导致 Windows 在登录期间执行它。以下命令可用于使用 Metasploit 生成 DLL 文件形式的有效负载。
Shell |
“ DLLName ”注册表项已被修改为包含任意 DLL。
DLL 将以系统级权限执行,并且 Meterpreter 连接将在下次 Windows 登录时打开。
可以从提升的命令提示符中使用以下两个命令来修改“ Shell ”和“ Userinit ”注册表项,而不是使用注册表编辑器。
Shell |
同样,PowerShell 可用于通过使用“ Set-ItemProperty ”cmdlet修改现有注册表项 。
Shell |
原文始发于微信公众号(暴暴的皮卡丘):windows持久化后门之winlogon
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论