目录
- 介绍
- 步骤
介绍
在攻击过程中中对于拿到的shell或钓上来的鱼,目前比较流行用CS做统一管理,但实战中CS官方没有集成一键权限维持的功能,为了将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。
步骤
打开桌面的文件夹
点击查看 > 选项
在查看中勾选以下选项
可以看到一个利用文件属性隐藏的txt文件和一个利用attrib隐藏的txt文件
桌面文件夹同时显示ads.txt,推测文件使用ads方法对文件进行隐藏
打开cmd切换目录至桌面,输入dir /r
利用命令notepad 文件名查看文件内容
搜索
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys
任意文件,可以看到存在文件xlkfs.sys
搜索是否存在相关软件,可以看到存在easy file locker
打开软件可以看到隐藏的文件,点击停止按钮即可在桌面看到隐藏的文件内容
查看
Winlogon\Userinit键
Load注册键
Explorer\Run注册键
RunServices注册键
登陆脚本
屏幕保护程序
的注册表信息
可以看到HKEY_CURRENT_USER\Environment存在flag值
可以看到HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon存在flag值
运行输入services.msc查看自启服务存在flag值
在计算机管理 > \Microsoft\Windows\evil中可以看到恶意条目,右键属性可以看到启动文件的操作
查看文件可以获得flag值
打开AutoRuns查看WMI项
打开powershell,输入bitsadmin /list /allusers /verbose,未发现bitsadmin后门
