SharPersist:windows 系统权限维持的工具

admin
admin
admin
102795
文章
87
评论
2024年4月22日06:07:35评论4 views字数 3538阅读11分47秒阅读模式
工具介绍

sharPersist 是一款用于windows 系统权限维持的工具,支持部署注册表、任务计划、启动文件夹、window 服务等后门进行权限维持。还可以用于应急响应,对各种后门进行排查,删除。

工具使用

命令详情参数详情●-t - 持久性技术●-c - 要执行的命令●-a - 要执行的命令的参数(如果适用)●-f - 要创建/修改的文件●-k - 要创建/修改的注册表项●-v - 要创建/修改的注册表值●-n - 计划任务名称或服务名称●-m - 方法(添加、删除、检查、列表)●-o - 可选附加组件●-h - 帮助页面持久化技术(-t)●keepass- 后门keepass配置文件●reg- 注册表项添加/修改●schtaskbackdoor- 通过向其添加附加操作来后门计划任务●startupfolder- 启动文件夹中的lnk文件●tortoisesvn- 乌龟svn钩子脚本●service- 创建新的Windows服务●schtask- 创建新的计划任务方法(-m)●add- 添加持久性技术●remove- 删除持久性技术●check- 进行持久性技术的演练●list- 列出持久性技术的当前条目可选附加组件(-o)●env- 用于注册表环境变量混淆的可选附加组件●hourly- schtask 频率的可选附加组件●daily- schtask 频率的可选附加组件●logon- schtask 频率的可选附加组件注册表项(-k)●hklmrun●hklmrunonce●hklmrunonceex●hkcurun●hkcurunonce●logonscript●stickynotes●userinit

使用示例

添加持久性触发器(Add)凯通SharPersist -t keepass -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "C:UsersusernameAppDataRoamingKeePassKeePass.config.xml" -m add 登记处SharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m addSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m add -o envSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "logonscript" -m add计划任务后门SharPersist -t schtaskbackdoor -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Something Cool" -m add启动文件夹SharPersist -t startupfolder -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "Some File" -m add乌龟SVNSharPersist -t tortoisesvn -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -m add视窗服务SharPersist -t service -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Some Service" -m add计划任务SharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m addSharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m add -o hourly

删除持久性触发器(删除)凯通SharPersist -t keepass -f "C:UsersusernameAppDataRoamingKeePassKeePass.config.xml" -m remove登记处SharPersist -t reg -k "hkcurun" -v "Test Stuff" -m removeSharPersist -t reg -k "hkcurun" -v "Test Stuff" -m remove -o envSharPersist -t reg -k "logonscript" -m remove计划任务后门SharPersist -t schtaskbackdoor -n "Something Cool" -m remove启动文件夹SharPersist -t startupfolder -f "Some File" -m remove乌龟SVNSharPersist -t tortoisesvn -m remove视窗服务SharPersist -t service -n "Some Service" -m remove计划任务SharPersist -t schtask -n "Some Task" -m remove

执行持久性触发器的试运行(检查)凯通SharPersist -t keepass -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "C:UsersusernameAppDataRoamingKeePassKeePass.config.xml" -m check登记处SharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m checkSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m check -o envSharPersist -t reg -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -k "logonscript" -m check计划任务后门SharPersist -t schtaskbackdoor -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Something Cool" -m check启动文件夹SharPersist -t startupfolder -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -f "Some File" -m check乌龟SVNSharPersist -t tortoisesvn -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -m check视窗服务SharPersist -t service -c "C:WindowsSystem32cmd.exe" -a "/c calc.exe" -n "Some Service" -m check计划任务SharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m checkSharPersist -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c echo 123 >> c:123.txt" -n "Some Task" -m check -o hourly

列出持久性触发器条目(List)登记处SharPersist -t reg -k "hkcurun" -m list计划任务后门SharPersist -t schtaskbackdoor -m listSharPersist -t schtaskbackdoor -m list -n "Some Task"SharPersist -t schtaskbackdoor -m list -o logon启动文件夹SharPersist -t startupfolder -m list视窗服务SharPersist -t service -m listSharPersist -t service -m list -n "Some Service"计划任务SharPersist -t schtask -m listSharPersist -t schtask -m list -n "Some Task"SharPersist -t schtask -m list -o logo

下载链接

https://github.com/mandiant/SharPersist

 

原文始发于微信公众号(贝雷帽SEC):【红队】一款用于windows 系统权限维持的工具

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月22日06:07:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SharPersist:windows 系统权限维持的工具https://cn-sec.com/archives/2612496.html

发表评论

匿名网友 填写信息