玩转注册表

       很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!

目录

注册表怎么打开?

IFEO(Image File Execution Options)映像劫持

 注册表里面的启动项

文件关联

 屏幕保护

时间提供者

Netsh助手DLL

winlogon用户初始化(千万千万千万不能乱改,搞不好会进不了系统)


注册表怎么打开

使用快捷键win+r打开运行窗口,输入命令  regedit,按下回车键即可打开注册表编辑器。

IFEO(Image File Execution Options)映像劫持

原理:当我们双击运行程序的时候。系统就会查询IFEO注册表。如果发现存在完全相同的子键,就会查询对应的子键中包含的"debugger"键值名,如果这个键值名不为空的情况下 系统则会吧debugger参数指定的程序文件来作为启动的程序

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

操作过程:这个路径下有很多的exe程序,我这里选择IE浏览器来进行测试,点击iexplore.exe,在空白的地方右键,点击新建,选择字符串值(S),把它命名成debugger,数值数据填你想要运行的程序,我这里打开的是cmd。

最后的效果:当点击IE浏览器时会弹出cmd的运行窗口。 

 

 注册表里面的启动项

路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
           HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

//如果改动里面的内容 不需要管理权限,针对于不同的用户。尽量写其他用户


  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

//如果改动里面的内容 需要管理员权限

 

文件关联

文件关联就是将一种类型的文件与一个可以打开他的程序建立起一种关系

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\Shell\Open\Command
          HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ratfile\Shell\Open\Command

 操作过程:复制HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\Shell\Open\Command,回车(我更改的是.txt后缀的文件,rat是其他后缀的文件),双击(默认),数值数据填你想要运行的程序,我这里打开的是cmd。

 效果:当我打开.txt文件时运行了cmd。

正常默认值是:C:\Windows\System32\NOTEPAD.EXE %1

 屏幕保护

屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。当我们更改了里面的值,用户在一段时间不活动后触发屏幕保护,也可以运行一些程序。因为屏幕保护程序是具有.scr文件扩展名的可执行文件,并通过scrnsave.scr实用程序执行。

屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是:                                         HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
           HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveActive
           HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaverIsSecure
           HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut

 

时间提供者

WiThdows操作系统正在利用时间提供者体系结构,以便从网络中的其他网络设备或客户端获取准确的 时间戳。时间提供者以DLL文件的形式实现,该文件位于System32文件夹中。WiThdows启动期间将启 动服务W32Time并加载w32time.dll。DLL加载是一种已知的技术,通常使红队攻击者有机会执行任 意代码。

由于关联的服务会在WiThdows启动期间自动启动,因此可以将其用作持久性机制。但是,此方法需要管理 员级别的特权,因为指向时间提供者DLL文件的注册表项存储在HKEY_LOCAL_MACHINE中。根据 系统是用作NTP服务器还是NTP客户端,使用以下两个注册表位置。

路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpSe rver

 

 

Netsh助手DLL

Netsh是WiThdows实用程序,管理员可以使用它来执行与系统的网络配置有关的任务, 并在基于主机的 WiThdows防火墙上进行修改。可以通过使用DLL文件来扩展Netsh功能。此功能使红队可以使用此工具 来加载任意DLL,以实现代码执行并因此实现持久性。但是,此技术的实现需要本地管理员级别的权限。

可以通过Metasploit Framework 的“ msfvenom ”实用程序生成任意DLL文件

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh

 

应该注意的是,某些可能安装在受感染系统上的VPN客户端可能会自动“ netsh ” 启动,因此可能不需要使用其他方法进行持久化。

winlogon用户初始化(千万千万千万不能乱改,搞不好会进不了系统)

winlogon.exe是windows中非常重要的进程,在用户还没有登录系统之前就存在。当用户登录时。winlogon进行负责将用户配置文件加载到注册表。有点像启动项。

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit的值只能增加,不能修改和删除,里面的值被修改或删除了,下次开机就会进不了系统,所以说不能乱改。进不了系统,不知道为什么,也可以往这个原因猜。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/56682.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

阿房宫赋

阿房宫赋 杜牧 六王毕,四海一。蜀山兀,阿房出。覆压三百余里,隔离天日。骊(L)山北构而西折,直走咸阳。二川溶溶,流入宫墙。五步一楼,十步一阁;廊腰缦回,檐…

女程序员一定不要找太帅的男生做你男朋友

女程序员一定不要找太帅的男生做你男朋友 帅哥每天弄头发 买鞋子买衣服买手表不思进取 帅哥天生就有种神一般的自信 女生都绕着他转 他们不懂呵护女朋友 还容易弄丢 所以 女程序员找男朋友 只要 穿着得体 干净利索就好 帅哥 还是都留给我吧

现在的程序员真的都找不到女朋友了??!!!

前言:小编这有自学的过程中有一些资源可以免费共享, 【内涵Java学习80g视频,大厂面试题库,Java学习书籍,或者技术指导】 加微信领取【备注007】 为什么现在程序员找女朋友会这么难呢? 让我们来看看现在…

当女朋友问你会不会出轨的时候,该怎么回答?

1 大象为什么会害怕体型小的动物? (素材来源网络,侵删) ▼ 2 学会说话很重要 (素材来源网络,侵删) ▼ 3 原来,他们的老爸是一串香肠? (素材来源网络&…

程序员应该怎么和女生聊天,哪些话题屡试不爽?

首先我也也是程序员哈哈哈哈。。。。。。。 代码就像这样。。。。。。 (那么下面说说我们程序员应该注意哪些事情和妹子聊天) 说了不知道会不会被骂。 如果外形处于及格分以下(不是指普通,是指丑),做一下医…

机器学习复习(上)

严正声明:本文的答案是ChatGPT的回答,仅供参考,不代表就是正确答案!!! 2023年: 1.解释什么是过拟合和欠拟合,如何降低过拟合? 过拟合(overfitting)指的是一…

WhatsApp是什么?国内手机怎么安装怎么注册?

你做外贸吗?必备的几个国际社媒安装好了吗?成功注册并使用了嘛? 如果你是外贸新人,刚刚接触外贸完全不知道通过哪些途径与客户联系,那WhatsApp绝对是必不可少的一个工具。如果你是老外贸人,更不能忽视掉Wh…

基于android的即时通讯APP 聊天APP

基于android的即时通讯APP 或者 聊天APP 一 项目概述 该项目是基于Android 的聊天APP系统,该APP包含前台,后台管理系统,前台包含用户通讯录,用户详情,用户聊天服务,用户二维码,发现功能,发现详情 , 个人中心, 个人信…

Android 第三方APP直接跳转WhatsApp 和指定联系人(可以非好友)聊天

业务需求中有点击按钮,从我们APP跳转到WhatsApp和某个人聊天,发现前端实现是 https://api.whatsapp.com/send?phonexxxxx 把该链接通过Android系统浏览器打开,如果手机安装WhatsApp会直接打开app并跳转到对应的账号下,说明 What…

2022年城市商品房销售价格趋势,房价是涨还是跌?

近年来随着国家政策对房地产进行调控,房价是涨还是跌,是很多人关注和关心的问题。下面是小编对国家统计局最新发布的报告进行报表数据处理分析后得到的数据可视化图表,展示了2022年上半年以来商品房的发展情况,大家来看下吧。 一&…

chatgpt赋能python:Python抽奖概率:了解随机性及如何提高中奖概率

Python抽奖概率:了解随机性及如何提高中奖概率 在现代社会,抽奖活动越来越受欢迎。无论是商家推销产品还是赢得大奖,抽奖都是吸引人们参与的有效方式。其中,Python作为一种能够生成随机数的编程语言,成为了抽奖活动中…

又有大厂员工连续加班倒下/ 百度搜狗取消快照/ 马斯克生父不为他骄傲...今日更多新鲜事在此...

日报君 发自 凹非寺量子位 | 公众号 QbitAI 大家好,今天是8月的第2天,友友们注意防暑降温哦! 日报君在此为您呈上科技圈值得关注的新鲜事~ 今日新闻 浪潮员工连续值班24小时致昏迷,被诊断为“呼吸性碱中毒” 据Tech星球消息&#…

说好的不加班呢?百度工作强度已经超过字节了啊

有个新入职的百度员工怀疑自己进了假百度,因为他天天加班到半夜,和外面传说的“百度不加班”根本不一样,才干了两个礼拜,他已经开始怀疑人生了。 网友们乐了,小伙子挺有想象力,可惜现实很残酷,这…

BAT大揭秘:在腾讯、百度、阿里上班,差别竟然这么大?

微信又改版了,为了方便第一时间看到我们的推送,请按照下列操作,设置“置顶”:点击上方蓝色字体“程序员之家”-点击右上角“…”-点击“设为星标”。 可以啦,让我们继续相互陪伴。 谈到中国互联网,就绕不开…

2022这一年

前言 一年过得好快啊,这个年终总结不知道该写点啥,所以一直到现在也没动笔。 但如果不写吧,总感觉少了点什么。就像过年守夜,反正我是每年都要等到凌晨12点放完鞭炮后才睡。 前些天也看到不少博主发布了2022年终总结,…

Selenium 测试框架批量注册

Selenium 测试框架 先打开cmd下载Selenium : pip install -i https://pypi.douban.com/simple selenium如果是用cmd 下载的:pip show selenium使用该命令是否下载成功 或者直接在pycham IDE 在项目头上引入这个架包:from selenium import webdriver …

黑帽子Python——基础的网络编程工具——TCP的客户端和服务端

学习自Python黑帽子(第二版) TCP的客户端和服务端 前言TCP客户端TCP服务端问题后记 前言 直接通过实践学习编程,很容易产生一些细节方面的知识错误,遇到不会的俺就问ChatGPT😏 TCP客户端 #快速创建一个TCP客户端对于…

PHP HTTP客户端-Guzzle原理解析

本文适合寻找PHP HTTP客户端库,或者对于Guzzle的使用和实现原理比较感兴趣的同学阅读,需要具备一定的PHP基础知识。 一、背景 在PHP后台开发过程中,经常会遇到模块间需要通过HTTP通信的情形。PHP语言本身只提供了socket操作的接口&#xff…

客户端日志和异常处理

目录 一. 使用Serilog结构化日志记录日志信息二. 捕获全局异常三. 使用AOP统一处理异常 一. 使用Serilog结构化日志记录日志信息 Serilog包的引用和使用语法都可以在网上找到(https://github.com/serilog/serilog/wiki/),不再赘述&#xff0…

深入浅出Transformer

作者:麦克船长 链接:https://www.zhihu.com/question/471328838/answer/2864224369 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 如果说「从浅入深」理解 Transformer,逐渐要到…