当入侵者成功取得某台机器的权限後,可能会希望之後仍然能够持许拥有这个权限。放个後门,下次要进来操作这台机器时就比较容易。
这篇要介绍的後门不需要写任何程序,也不会有艰深的观念,应该算是一些 Windows 简单的奇技淫巧。希望让刚入门的朋友们能有些可以做点坏事的感觉,顺便为下一篇比较难的後门做铺陈。
Windows 10 的锁定画面如下图,右下角可以看到一些 Windows 内建功能,原本的功能是用来辅助使用者的。假设入侵者目前可以用远端桌面访问受害主机,那就能够透过窜改掉那些内建功能达到後门的效果。
Windows 内建功能,按五下 shift 会出现 Enable Sticker Key 的视窗,用来启用 Sticker Key 功能。以下的操作原理就是让原本使用的 sethc.exe 改成使用 cmd.exe。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
C:\Windows\System32\cmd.exe
whoami
还会发现是 System 权限哦!C:\Windows\System32
的资料夹权限,改成完全控制 (Full Control)。C:\Windows\System32
除了 Shift 五下之外,同样的招法也可以使用在锁定画面右下角的其他功能中。
一般的防毒软件很容易就能发现这类简单的後门,毕竟一般不会有使用者去换掉 C:\Windows\System32 中的档案,也不会在这种内建工具的 Regsitry 放 Debugger。
有时一些服务会希望在使用者登入时执行一些指令,因此会用到 Run、Runonce。然而这同时也可以被恶意利用,在使用者登入时执行恶意指令,例如恶意程序在每次使用者登入时检查程序是否已被执行。Run、Runonce 至今仍是许多 Malware 会使用的技巧。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
除了 Run、Runonce 之外,其实还有很多 Registry 可以做到同样功能。例如 Logon、Startup、RunOnceEx 等等。
<<: Day13 Let's ODOO: Security(2) Group
>>: Day 28 - Rancher Fleet Helm 应用程序部署
刚学完三大工厂的模式,那它们之间的差异性究竟是什麽呢? 学习目标: 探讨简单工厂、抽象工厂、工厂的差...
环境安装 在使用Python开发AI时,由於需时时查看处理中的训练资料,於是大多使用Jupyter ...
资讯安全在大部份的资安书籍都没有详细的定义,以下是我的 The Effective CISSP: S...
我们透过前几天介绍的所有内容 Storybook - 基本介绍 & 安装 Storybook...
在软件开发过程中,最不确定的因素是「需求」。因为通常要做的系统是没人用过的新系统,常常使用者没看到系...