取得PowerShell中远程注册表项的所有权

在PowerShell中，要取得远程注册表项的所有权，可以使用以下步骤：

首先，确保你具有足够的权限来访问远程计算机的注册表。你需要是目标计算机上的管理员或具有适当权限的用户。
使用Enter-PSSession命令建立与远程计算机的会话。例如，如果要连接到名为"RemoteComputer"的远程计算机，可以运行以下命令：

Enter-PSSession -ComputerName RemoteComputer

进入远程计算机后，使用Set-ItemProperty命令来设置注册表项的所有权。以下是设置所有权的示例命令：

Set-ItemProperty -Path "Registry::HKEY_LOCAL_MACHINE\Software\YourRegistryKey" -Name Owner -Value "YourUsername"

其中，"Registry::HKEY_LOCAL_MACHINE\Software\YourRegistryKey"是你要设置所有权的注册表项的路径，"Owner"是你要设置的所有权属性的名称，"YourUsername"是你要设置为所有者的用户名。

完成后，你可以使用Exit-PSSession命令退出远程会话：

Exit-PSSession

以上是在PowerShell中取得远程注册表项所有权的步骤。通过这种方式，你可以在远程计算机上设置注册表项的所有权属性。请注意，这些命令仅适用于PowerShell环境，并且需要在具有足够权限的情况下执行。

相关·内容

VMware提示：此虚拟机似乎正在使用中，取得该虚拟机的所有权失败错误的解决方案

1.4K3 0

Window权限维持（四）：快捷方式

现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。 usemodule persistence/userland/backdoor_lnk ?...在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager。 ? 杂项 PoshC 在常见的红色团队工具包之外，还有多个脚本可用于开发恶意快捷方式。...EmpireEmpire包含一个持久性模块，该模块可以后门合法的快捷方式（.LNK），以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...可以通过执行以下命令来调用此技术：install-persistence 3PoshC2 –启动LNK文件在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager...生成的扩展名将包含一个PowerShell命令，该命令将从远程服务器下载文件并直接在系统上执行。

1.3K3 0

PS常用命令之文件目录及内容操作

描述: 切换当前工作目录的路径实际上在PowerShell中cd命令就是其的别名。...默认情况下，具有该名称和映射的驱动器在PowerShell中可用。...例如，可以使用此cmdlet将一个或多个注册表项从一个注册表项复制到另一个注册表项。...# 此命令将名为“MyProperty”的属性从“MyApplication”注册表项复制到“MyApplicationRev2”注册表项。...New-Item -Path "HKCU:\Software\Testkey" -itemType String -value "WeiyiGeek" | # 3.添加注册表项中的键值 Get-Item

8K2 0

从某电商钓鱼事件探索黑客“一站式服务”

文档中的特殊文本。...我们发现，其通过自启动注册表项，启动PowerShell执行相应的命令 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle...注册表项的内容，然后通过Base64解码之后执行，另一个注册表项的内容是一串Base64的字符串。 ? 多次解码之后，得到相应的PowerShell源代码。 ?...通过PowerShell脚本，创建一个线程，注入一段ShellCode到远程进程中，执行ShellCode，解密出相应的ShellCode代码。 ?...分析从内存中Dump出来的文件，是一个后门程序。后门程序，释放相应的远控恶意程序文件Folder.exe： ?

7323 0

Window权限维持（五）：屏幕保护程序

屏幕保护程序设置存储在注册表中，从令人反感的角度来看，最有价值的值是： HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE HKEY_CURRENT_USER...可以通过命令提示符或从PowerShell控制台修改或添加注册表项。由于.scr文件本质上是可执行文件，因此两个扩展名都可以用于后门植入。...Nishang框架包含一个PowerShell脚本，该脚本也可以执行此攻击，但与上述方法相比，它需要管理级别的特权，因为它在本地计算机中使用注册表项来存储将执行远程托管有效负载的PowerShell命令...在这种情况下，可以使用Metasploit Web交付模块生成并托管PowerShell负载。...一旦用户会话变为空闲，屏幕保护程序将执行PowerShell负载，然后将打开一个meterpreter会话。

1.1K1 0

如何获得PowerShell命令的历史记录

0x00前言我在最近的学习过程中，发现PowerShell的命令的历史记录有时会包含系统敏感信息，例如远程服务器的连接口令，于是我对PowerShell的的历史记录功能做了进一步研究，总结一些渗透测试中常用导出历史记录的方法...的进程中的历史记录。...\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{57E5A8BB-41EB-4F09-B332-B535C5954A28} 只需要删除这个注册表项及子项即可实现在已安装程序列表中隐藏...删除注册表项的CMD命令： reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{57E5A8BB-41EB-4F09...对于低版本的Powershell的，如果命令中包含敏感信息（如远程连接的口令），需要及时清除，命令为：Clear-History 对于cmd.exe的，如果命令中包含敏感信息（如远程连接的口令），需要及时清除

12.9K3 0

某远控RCE绕过某数字的利用方式

0x01 前言群友在某次项目测试中遇到一个存在向日葵远程命令执行漏洞的IP，目标环境Windows2016+360+Wdf，由于存在360而无法通过向日葵漏洞利用工具执行命令进行下一步测试。...360拦截了，因为它们都是基于Powershell那个Payload来写的，而360又对Powershell的进程链监控的非常严，所以被拦也正常。...C:\Progra~1\Oray\SunLogin\SunloginClient\config.ini 因为较高版本的向日葵将ID和Pass写进注册表里了，所以在配置文件中是找不到的，可通过执行以下命令读取对应注册表项获取...如果目标主机的向日葵为自定义路径安装，那么我们该如何得到他的安装路径去读取config配置文件呢？可以使用sc qc命令查询向日葵服务得到安装路径，或者读取向日葵服务对应的注册表项。...0x06 文末总结首先我们是解决了向日葵利用工具执行命令被360拦截的问题，后边其实大部分测试的都是在向日葵远程命令执行漏洞下如何去绕过360进程防护执行木马、脚本、读注册表、导出SAM、添加管理员等

1.3K1 0

CVE-2020-0796漏洞复现（RCE）

）,公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。...该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。...图标，在弹出菜单中选择“运行”菜单项，在弹出的运行框中输入regedit，打开注册表编辑器。...在“HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters”目录中添加一个DWORD类型的注册表项DisableCompression ，数值为...如需撤销禁用SMBv3压缩功能，将该注册表项数值修改为0或删除注册表项即可。

2K2 0

【漏洞通告】微软SMBv3协议远程代码执行漏洞（CVE-2020-0796）PoC公开处置手册

应急等级：黄色版本：1.2 1 漏洞概述北京时间6月2日晚，绿盟科技监测到有研究人员公布了SMBv3协议远程代码执行漏洞（CVE-2020-0796）远程利用的PoC代码，极大的增加了该漏洞的潜在危害...4.2 补丁检测在受影响范围内的操作系统中，可执行以下命令查看补丁安装的情况。...图标，在弹出菜单中选择“运行”菜单项，在弹出的运行框中输入regedit，打开注册表编辑器。...在 “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”目录中添加一个DWORD类型的注册表项DisableCompression...如需撤销禁用SMBv3压缩功能，将该注册表项数值修改为0或删除注册表项即可。

9022 0

Windows之注册表介绍与使用安全

1.4.2 导入和导出注册表项通常情况下，通过双击注册表文件(*.reg)也可将注册表文件中的内容导入到注册表从而修改注册表。...●查找要导入的文件，单击选中该文件，再单击“打开”。 1.4.3 更改项和值 1.4.3.1 查找字符串、值或注册表项 ●单击“编辑”菜单中的“查找”。...●在“查找目标”框中，键入要查找的字符串、值或注册表项。 ●选中“项”、“值”、“数据”和“全字匹配”复选框，以匹配要搜索的类型，然后单击“查找下一个”。...在“数值数据”框中，键入该值的新数据，然后单击“确定”。 1.4.3.5 删除注册表项或值单击要删除的注册表项或值项。在“编辑”菜单上，单击“删除”。注意:可以从注册表中删除注册表项和值。...2.1 禁用危险的远程注册表在Win NT/2000/XP/2003下，当你在编辑注册表时，可曾留意注册表编辑器菜单中的“注册表→连接网络注册表”一项?

1.5K2 0

PowerShell实战：文件操作相关命令笔记

可创建的项类型取决于项的位置。例如，在文件系统 New-Item 中创建文件和文件夹。在注册表中， New-Item 创建注册表项和条目。New-Item 还可以设置它创建的项的值。...还可以通过管道将值传递给 New-Item ● -Confirm：用于创建操作运行cmdlet之前是否需要确认 ● -Force：针对文件夹，不会覆盖，只会返回之前创建的文件夹，针对文件或者注册表会覆盖文件内容...它支持删除许多不同类型的项，包括文件、文件夹、注册表项、变量、别名和函数。...3、Rename-Item 项重命名该命令主要是用来给项目进行重命名，支持文件、目录、注册表等文件类型，并且也可以批量重命名操作。...文件重命名,当前demo.txt 文件名修改为 demonew.txtRename-Item demo.txt -NewName "demonew.txt"重命名该注册表项Rename-Item -Path

2782 0

权限维持分析及防御

sethc.exe或者在“控制面板”中关闭“启用粘滞键”选项 2、注册表注入后门在普通用户权限下可以将后门程序或脚本路径填写到启动项注册表中，当系统管理员登录系统时触发后门这个在ATT&CK中的Persistence...\mimilsa.log （2）方法二将mimikatz中的mimilib.dll放到系统的C:\Windows\System32\目录下，并将mimilib.dll添加到注册表中，重启也能持久化...c:\windows\system32\kiwissp.log （3）防范查看hklm\system\currentcontrolset\control\lsa\Security Packages注册表项是否含有可疑的...：在控制域控制器后，可以通过注入SID History属性完成持久化任务拥有高权限SID的用户可以使用PowerShell远程导出域控制器的ntds.dll 如果不再需要通过SID History属性实现持久化...其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩，积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员，下属联合分队数支。

9731 0

Microsoft Office 远程代码执行

攻击者可利用恶意Office文件中的远程模板功能从远程网络服务器获取恶意HTML文件，通过微软支持诊断工具（Microsoft Support Diagnostic Tool，MSDT）执行恶意PowerShell...第二种如果是想加载远程服务器上的html的话，再后面加个-u参数就行。 python ....当目标用户点击文档后，MSHTML会请求访问远程html页面，从而加载恶意的JavaScript。...2.要备份注册表项，请执行命令“reg exportHKEY_CLASSES_ROOTms-msdt filename“。...2.要恢复备份注册表项，请执行命令“reg import filename”。

6002 0

StripedFly：揭开恶意软件常年隐身的秘密

该加载程序包括system.img的副本，并随后在Windows注册表项Software\Microsoft\Windows\CurrentVersion\Run中以类似GUID的名称注册。...如果没有管理权限，PowerShell脚本加载程序将被放置在HKCU\Software\Microsoft\Windows\CurrentVersion\Applets注册表项中，然后使用以下命令将其注册到...在PowerShell可用的两种情况下，该恶意软件归档本身的主体将被存储在注册表项Software\Microsoft\Windows\CurrentVersion\Shell中，由Base64编码，并通过上述...服务模块配置存储该模块通过在Windows版本的HKCU\Software\Classes\TypeLib密钥中创建一个类似GUID的注册表项，安全地存储AES加密的恶意软件配置。...在初始执行时，它会立即通过修改受害者系统上的HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters注册表项来禁用SMBv1协议。

2541 0

1.Powershell基础入门介绍与安装升级

.zip 在安装过程中创建注册表项: 描述: 从 PowerShell 7.1 开始，MSI 包将创建用于存储 PowerShell 安装位置和版本的注册表项。...发布体系结构注册表项 7.1.x 版本 x86 HKLM\Software\Microsoft\PowerShellCore\InstalledVersions\1d00683b-0f84-4db8...# 如果需要基于 WSMan 的远程处理，请按照说明使用[“另一种实例技术”][]创建远程处理终结点。...PowerShell 同时支持采用 WSMan 和 SSH 的 PowerShell 远程处理协议 (PSRP) 在 PowerShell Core 中进行 SSH 远程处理在 PowerShell...# 方式1.以超级用户身份注册 Microsoft 存储库一次。注册后，可以通过 sudo yum update powershell 更新 PowerShell。

7K2 0

渗透技巧——”隐藏”注册表的创建

); 创建注册表项下的键值test1并赋值：读取该注册表项下键值test1的内容： MyQueryValueKeyString(hKey,"test1"); 删除该注册表项下的键值test1： MyDeleteValueKey...、删除隐藏注册表键值，思路如下：对于注册表项的隐藏，在注册表项的名称首位填”\0”即可对应注册表键值的隐藏，原理上也是在键值的名称首位填”\0”，但在参数传递上需要注意更多问题 1.不需要修改的功能...创建注册表键、打开注册表键和删除注册表键的功能不需要修改，使用正常的名称即可 2.设置注册表键值对应源代码中的MySetHiddenValueKey 传入参数使用char型数组，，用来定义注册表键值名称...参照2，需要注意”\0”的影响 4、删除注册表键值对应源代码中的MyDeleteHiddenValueKey 参照2，需要注意”\0”的影响实际测试：创建注册表项test2,创建隐藏注册表键值\...0x06 小结本文介绍了Poweliks使用过的注册表隐藏技术，分析原理，编写c程序实现功能，测试powershell实现代码

1.4K8 0

后门技巧之使用网站关键字进行反连

Twitter大牛@MattGraeber和@ChrisCampbell介绍了一种使用网站关键字来触发系统中shellcode的技术。...这种技术的主要优点是shellcode直接从内存中执行，不容易被发现，通过注册表项实现持久化。 C2Code -PowerShell脚本如下: ?...当PowerShell脚本在目标主机上执行时，它将在网站上查找已经给出的特定关键字，如果关键字存在将执行有效负载 ? 打开一个Meterpreter会话进行监听，成功反弹回来。 ? ?...Matt Nelson还创建了一个Office宏，执行相同的技术，但是会另外创建一个注册表项，每次用户登录时执行C2Code PowerShell脚本，以保持持久性。 ?...这是一个很好的后门方式，没有引入任何新的东西或造成很大的动静，就可以完成一次交互，小编和他的小伙伴都惊呆了。

4581 0

这五款工具被全球黑客广泛使用，中国菜刀入榜

这五款工具如下： 1.远程访问木马: JBiFrost 2.Webshell: China Chopper 3.凭证窃取工具: Mimikatz 4.横向移动工具: PowerShell Empire...它通过在名为Local Security Authority Subsystem Service（LSASS）的Windows进程中访问内存中的凭据来实现此目的。...PowerShell Empire PowerShell Empire是后开发或横向移动工具的一个例子。它旨在允许攻击者（或渗透测试人员）在获得初始访问权限后在网络中移动。...PowerShell Empire还可用于生成恶意文档和可执行文件，以便利用社交工程访问网络。PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中越来越受欢迎。...使用这些功能还可以创建Windows注册表项，以确保HTran保持对受害者网络的持久访问。这些工具本身常常并非恶意，可由测试人员合法用于漏洞查找，但也可被恶意用于入侵网络、执行命令并窃取数据。

1.5K2 0

Avos Locker 远程访问盒子，甚至在安全模式下运行

在这种情况下，有一个事件日志条目显示正在执行的 base64 编码的 PowerShell 脚本，结果输出到名为execute.bat的文件中，然后运行该文件，最后将其删除。...这些编排脚本修改或删除了注册表项，这些注册表项有效地破坏了属于特定端点安全工具的服务或进程，包括来自卡巴斯基、Carbon Black、趋势科技、赛门铁克、Bitdefender 和其他公司的内置 Windows...攻击者还会禁用某些网络使用的某些注册表项，以便在登录时显示“法律通知”。禁用这些功能会降低自动登录失败的可能性，因为等待人们单击它的对话框会阻止该过程。...从目标网络中恢复的 Avos Locker 批处理脚本感染过程中的倒数第二步是在注册表中创建一个“RunOnce”键，该键可以无文件地执行勒索软件负载，攻击者将其放置在域控制器上。...我们一直在改进这些检测以减少误报，因为有许多完全合法的工具和软件使用这些注册表项进行正常操作。

1.3K3 0

命令控制之Website Keyword

，以便在系统中触发shellcode。...Meterpreter会话并使用其作为命令和控制工具的所有功能，这种技术的主要好处是shellcode直接从内存执行，噪声较小，并通过注册表项实现持久性。...之后修改当PowerShell-C2脚本中的Word以及DownloadString地址： ?...之后再攻击主机上可以看到HTTP请求记录，也就是Invoke-Shellcode的下载记录： ? 同时会在MSF框架中收到返回的会话： ? 到这里可能有人会说这有啥高科技的呢？...Matt Nelson还创建了一个Office 宏，它执行相同的技术，但另外创建了一个注册表项，每次用户登录时都会执行C2Code PowerShell脚本以保持持久性： ?

5351 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云