神兵利器 - SharpEventPersist
2022-10-21 08:10:6 Author: 系统安全运维(查看原文) 阅读量:29 收藏
通过从事件日志中写入/读取 shellcode 来持久化。
SharpEventPersist 工具采用 4 个区分大小写的参数:
    -file "C:\path\to\shellcode.bin"-instanceid 1337-source Persistence-eventlog "Key Management Service".

shellcode 转换为十六进制并写入“密钥管理服务”,事件级别设置为“信息”,源为“持久性”。

运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下,这应该转换为 DLL 并在程序启动/启动时侧载。

如果未使用默认值运行,请记住更改加载程序中的事件日志名称和 instanceId。

默认值将留下以下工件:

  • 一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Key Management Service。

  • 这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。


https://github.com/improsec/SharpEventPersist

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247511359&idx=2&sn=2473f4620e0e0405e2ac30c8a37f643f&chksm=c3087e4ff47ff759a5498591a78cab5322d5bc79d6c89eac71a2e599676a558a2220cc4a79d1#rd
如有侵权请联系:admin#unsafe.sh