windows持久化后门之事件查看器联机帮助

admin 2024年1月19日13:00:31评论17 views字数 2075阅读6分55秒阅读模式

事件查看器介绍

事件查看器是一个系统工具,用于查看和分析系统和应用程序生成的事件日志。事件日志记录了系统的各种操作、错误、警告和其他信息。

事件日志联机帮助

当你在事件查看器中查看事件时,某些事件可能会包含一个 "事件日志联机帮助" 的链接。这个链接旨在提供关于特定事件的在线帮助信息,以便用户更好地理解事件的含义和可能的解决方案。

这个链接通常会跳转到 Microsoft 的官方在线文档或支持页面,其中包含有关事件的详细信息、可能的原因、解决方法和其他相关信息。这样的在线帮助页面通常有助于用户在遇到问题时更好地理解和解决问题。

要查看 "事件日志联机帮助",可以按照以下步骤操作:

  1. 打开事件查看器:可以在运行窗口中输入 eventvwr.msc,或者通过控制面板的 "管理工具" 找到事件查看器。

  2. 在事件查看器中选择特定的事件,然后在事件详细信息中查找 "事件日志联机帮助" 链接。

  3. 单击链接,它将在默认的 Web 浏览器中打开,并显示与该事件相关的在线帮助信息。    

windows持久化后门之事件查看器联机帮助

事件日志联机帮助将用户重定向到Microsoft URL,并从以下注册表位置进行控制:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEvent Viewer

  • MicrosoftRedirectionProgram:可以修改以包含已编译的可执行文件的位置。单击“事件日志联机帮助”将显示消息框,指示代码已执行。

  • MicrosoftRedirectionProgramCommandLineParameters:允许用户修改数据值以执行命令。一个常见二进制文件,如“regsvr32”,可以用来执行无文件有效载荷

  • MicrosoftRedirectionURL:指定或配置在某些情况下要重定向到的 URL 地址

如果已获得本地管理员访问权限,则可以修改三个注册表项,以便在用户单击事件日志联机帮助后执行任意有效负载。

持久化利用思路

一句话总结:根据上述三个注册表中注册项的作用重写内容达到执行植入的恶意后门程序

Demo Poc

简单的概念证明是来触发消息框,来代替恶意程序

Java                  
#include
#pragma comment (lib, "user32.lib")          
         
       
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) {                  
MessageBox(NULL, "pentestlab.blog", "Pentestlab", MB_OK);                  
return 0;                  
}

使用 MinGW 编译上面的代码以生成可执行文件。

Java                  
x86_64-w64-mingw32-g++ -O2 messagebox.cpp -o messagebox.exe -I/usr/share/mingw-w64/include/ -s -ffunction-sections -fdata-sections -Wno-write-strings                  
-fno-exceptions -fmerge-all-constants -static-libstdc++ -static-libgcc -fpermissive

修改注册表项“ MicrosoftRedirectionProgram” 以包含已编译的可执行文件的位置。单击事件日志在线帮助将显示消息框,指示代码已被执行,证明可以通过这个路子来完成持久化的后门

windows持久化后门之事件查看器联机帮助

实战利用

使用msfvenom生成有效后门负载

windows持久化后门之事件查看器联机帮助

MicrosoftRedirectionProgram项利用

修改下面的注册表项以映射到先前生成的有效负载在磁盘上的位置将执行有效负载·

windows持久化后门之事件查看器联机帮助

点击“事件日志联机帮助”时,就将建立连接。    

windows持久化后门之事件查看器联机帮助

MicrosoftRedirectionProgramCommandLineParameters项利用

修改MicrosoftRedirectionProgramCommandLineParameters 项,此项需要结合MicrosoftRedirectionProgram一起使用,MicrosoftRedirectionProgram可以使用注册dll的regsvr32,然后就在Parameters中写入远程的dll,就可以直接使用远程文件来执行后门;当然此处也让MicrosoftRedirectionProgram用nc.exe 、powershell等等来做

windows持久化后门之事件查看器联机帮助    

windows持久化后门之事件查看器联机帮助

MicrosoftRedirectionURL项利用

修改MicrosoftRedirectionURL 可以直接使用file协议,其实应该也能够支持其他的协议,这里没有仔细探讨,可以尝试下使用gopher之类的

windows持久化后门之事件查看器联机帮助

在使用这种的方式下,系统会默认使用mmc.exe来调起恶意程序,此时恶意程序的父进程就会是mmc.exe    

windows持久化后门之事件查看器联机帮助

原文始发于微信公众号(暴暴的皮卡丘):windows持久化后门之事件查看器联机帮助

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月19日13:00:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   windows持久化后门之事件查看器联机帮助https://cn-sec.com/archives/2408419.html

发表评论

匿名网友 填写信息