〖154〗-输入的卷标超过目标文件系统的长度限制 〖155〗-无法创建另一个线程。 〖156〗-接收进程已拒绝此信号。 〖157〗-段已被放弃且无法锁定。 ...〖1018〗-试图在标记为删除的注册表项上运行不合法的操作。 〖1019〗-系统无法配置注册表日志中所请求的空间。 〖1020〗-无法在已有子项或值的注册表项中创建符号链接。 ...〖1071〗-指定的服务数据库锁定无效。 〖1072〗-指定的服务已标记为删除。 〖1073〗-指定的服务已存在。 〖1074〗-系统当前以最新的有效配置运行。 ...〖1075〗-依存服务不存在,或已被标记为删除。 〖1076〗-已接受使用当前引导作为最后的有效控制设置。 〖1077〗-上次启动之后,仍未尝试引导服务。 ...〖1349〗-令牌的类型对其尝试使用的方法不适当。 〖1350〗-无法在与安全性无关联的对象上运行安全性操作。
997 重叠 I/O 操作在进行中。 998 内存分配访问无效。 999 执行页内操作时的错误。 1001 递归太深;堆栈溢出。 1002 窗口无法在已发送的消息上操作。 1003 无法完成此功能。...注册表无法读入、写出或清除任意一个包含注册表系统映像的文件。 1017 系统试图加载或还原文件到注册表,但指定的文件并非注册表文件格式。 1018 试图在标记为删除的注册表项上进行不合法的操作。...1019 系统无法分配注册表日志中所需空间。 1020 无法在已有子项或值的注册表项中创建符号链接。 1021 无法在易变父项下创建稳定子项。...特权服务被召唤 4674 ----- 尝试对特权对象执行操作 4675 ----- SID被过滤掉了 4688 ----- 已经创建了一个新流程 4689...5632 ----- 已请求对无线网络进行身份验证 5633 ----- 已请求对有线网络进行身份验证 5712 ----- 尝试了远程过程调用(RPC
现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。 usemodule persistence/userland/backdoor_lnk ?...当用户进行身份验证时,将执行有效负载,并打开Meterpreter会话. ? PoshC2 PoshC2可以创建一个LNK文件并将其直接放置在Windows启动文件夹中以保持持久性。...可以通过执行以下命令来调用此技术: install-persistence 3 ? 在Windows登录期间,快捷方式将尝试在注册表项上执行值,该注册表项包含base64格式的stager。 ?...EmpireEmpire包含一个持久性模块,该模块可以后门合法的快捷方式(.LNK),以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...可以通过执行以下命令来调用此技术:install-persistence 3PoshC2 –启动LNK文件在Windows登录期间,快捷方式将尝试在注册表项上执行值,该注册表项包含base64格式的stager
.zip 在安装过程中创建注册表项: 描述: 从 PowerShell 7.1 开始,MSI 包将创建用于存储 PowerShell 安装位置和版本的注册表项。...# 如果需要基于 WSMan 的远程处理,请按照说明使用[“另一种实例技术”][]创建远程处理终结点。...: PowerShell 配置文件是在 PowerShell 启动时执行的脚本。...此脚本通过添加命令、别名、函数、变量、模块和 PowerShell 驱动器来自定义环境。 配置文件脚本让这些自定义对每个会话都可用,而不必手动重新创建它们。...PgUp PgDn 显示当前会话的第一个命令和最后一个命令 Enter 执行当前命令 End 将光标移至当前命令的末尾 Del 从右开始删除输入的命令字符 Esc 清空当前命令行 (V) ALT
RDP 低权限用户劫持高权限用户的 RDP 会话利用起来没有前者那么简单,因为权限太低,所以无法执行创建服务,执行 Psexec 等高权限的命令。...接下来我们尝试劫持这个管理员用户的远程会话。...如下图所示,每个注册表项保存连接的服务器地址,其中的键值UsernameHint对应登录用户名: 看也可以通过 PowerShell 命令行来实现,首先通过以下命令枚举指定注册表项下所有的的子项,即当前用户所连接过的所有的主机名...最后,再将刚才导出的两个后缀为 .reg 的注册表项导入注册表中: 这样我们的隐藏账户 whoami 就创建好了。...该漏洞是由于 Windows 在处理某些对象时存在错误,可通过特制的 RDP 报文访问未初始化或已经删除的对象,导致任意代码执行,然后控制系统。下面我们使用 Windows 7 系统进行复现。
一些没有管理员权限无法完成的操作: 注册表修改(如果注册表项在HKEY_LOCAL_MACHINE下(因为它影响多个用户),它将是只读的) 加载设备驱动程序 DLL注入 修改系统时间(时钟) 修改用户帐户控制设置...hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。...当加载某些较高完整性级别进程时,会引用这些注册表项,从而导致进程加载用户控制的DLL,这些DLL包含导致会话权限提升的payload。...此模块修改注册表项,但在调用payload后将清除该项,这个模块需要payload的体系架构和操作系统匹配,但是当前的低权限meterpreter会话体系架构中可能不同。...:也就是授权令牌,它支持交互式登录(例如可以通过远程桌面登录访问) Impresonation Token:模拟令牌,它是非交互的会话。
注册表项中,服务对应的程序路径存储在HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesVulnerable Service服务名ImagePath,如果低权限用户对这个键值有写权限...hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。...当加载某些较高完整性级别进程时,会引用这些注册表项,从而导致进程加载用户控制的DLL,这些DLL包含导致会话权限提升的payload。...此模块修改注册表项,但在调用payload后将清除该项,这个模块需要payload的体系架构和操作系统匹配,但是当前的低权限meterpreter会话体系架构中可能不同。...:也就是授权令牌,它支持交互式登录(例如可以通过远程桌面登录访问) Impresonation Token:模拟令牌,它是非交互的会话。
选择Not Configured值或Disabled值会删除Shadow注册表项。 完全控制还允许在查看会话模式下连接,但为了避免错误指定/control参数的情况,将Shadow值设置为4更安全。...在第一个屏幕截图中启用了 UAC 远程限制,在第二个屏幕中禁用了它们 qwinsta启用 UAC 远程限制时的命令输出 qwinsta禁用 UAC 远程限制时的命令输出 这是一种众所周知的安全机制,...此外,我发现如果您尝试手动启动这些服务并且某些注册表项未设置为下面第 5 节中列出的适当值,则 RDS 阴影将无法工作。 让我们看看谁在关注fDenyTSConnectionskey的变化。...fDenyChildConnections密钥设置为0时已建立的阴影连接 在 3389/TCP 端口上没有监听器的 netstat 命令输出 坚持 RDS Shadowing 技术可以获得一种持久性...虽然这是真的,但每次尝试停止它时都会收到以下错误: 坏处是远程桌面配置 ( SessionEnv) 服务可以停止,如果是这样,您将在尝试隐藏会话时收到以下错误: 接口未知 另一方面,一旦主机重新启动
有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。...Meterpreter – 持久性计划任务 也可以在系统启动期间或用户会话处于非活动状态(空闲模式)时执行。...查询事件ID 可以创建一个计划任务,该任务将在系统上发生关联的事件ID时执行有效负载。...以下配置每天凌晨03:22将执行基于PowerShell的有效负载。有效负载存储在注册表项中,任务名称为“ WindowsUpdate ”,以便区分合法的计划任务。...Empire – 持久性计划任务 计划任务的提升模块提供了在用户登录期间执行有效负载的选项。在这两个模块中,都将使用注册表以Base64编码格式存储有效负载,但是以不同的注册表项存储。
描述:该New-PSDrivecmdlet会创建与数据存储中的某个位置映射或关联的临时和持久驱动器,例如网络驱动器,本地计算机上的目录或注册表项,以及与Windows关联的持久Windows映射的网络驱动器...MyCompany的驱动器,该驱动器映射到HKLM:\Software\MyCompany注册表项。...,尤其在你有频繁操作某个特定的注册表区域时。...类似地当外部驱动器与计算机断开连接时,它会自动删除代表已删除驱动器的PSDrive。,包括但不限于使用New PSDrive的Persist参数创建的驱动器。...# 正在目标“名称: X 提供程序: Microsoft.PowerShell.Core\FileSystem 根路径: X:\”上执行操作“删除驱动器”。
PowerShell 脚本执行策略用于控制何时以及何种方式执行 PowerShell 脚本。通过执行策略可以限制 PowerShell 脚本的执行范围,为系统管理员提供一定的安全保障。...策略可以限制执行脚本的用户、限制执行脚本的来源等等。这些策略可以在计算机本地或组策略中进行配置。最终保护计算机免受恶意脚本和非法操作的侵害。今天给大家讲解PowerShell脚本执行策略相关的知识!...关闭 PowerShell 会话时,变量和值将被删除。● CurrentUser:执行策略仅影响当前用户。 它存储在 HKEY_CURRENT_USER 注册表子项中。...● LocalMachine:执行策略会影响当前计算机上的所有用户。 它存储在 HKEY_LOCAL_MACHINE 注册表子项中。... ALLSIGNED删除执行策略若要删除特定范围的执行策略,请将执行策略设置为 Undefined。
让我们尝试创建新的键和子键,但在此之前,我们需要检查是否可以访问特定的注册表项,还有一个常量定义了对键的访问级别,下表总结了具有关联常量的权限: Method Value Function KEY_QUERY_VALUE...1 查询注册表键的值 KEY_SET_VALUE 2 创建、删除或设置注册表值 KEY_CREATE_SUB_KEY 4 创建注册表项的子项 KEY_ENUMERATE_SUB_KEYS 8 枚举注册表项的子项...KEY_NOTIFY 16 注册表项或注册表项子项的更改通知 KEY_CREATE 32 创建注册表项 DELETE 65536 删除注册表项 READ_CONTROL 131072 结合 STANDARD_RIGHTS_READ...创建注册表项 现在我们知道对在 HKEY_CURRENT_USER 下运行的注册表项有写访问权限,将计算器应用程序添加到注册表项中。..."software\openssh\CustomAgent") 3 工具 Registry.ps1:具有易于使用的 PowerShell 函数,用于枚举、创建、删除、更新键等,在手动处理问题时非常有用
Wmi -Persistence是一个简单的 PowerShell 脚本,支持以下触发器:启动、登录、间隔和定时。它包含三个功能,用于安装、查看和删除已创建的 WMI 事件。...WMI-Persistence是另一个 PowerShell 脚本,它可以创建事件过滤器,在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...该工具将注册一个事件,该事件将在系统上创建目标进程时执行 base64 VBS 有效负载。...从 PowerShell 控制台执行以下命令将验证有效负载是否存储在“ __EventConsumer** ”中并且“ **__EventFilter ”已创建。...该模块支持不同的选项,可用于触发要在系统上执行的任意有效负载。默认情况下,配置为在系统上创建特定事件 ID (4625) 时执行有效负载。
屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是: HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE HKEY_CURRENT_USER...可以通过命令提示符或从PowerShell控制台修改或添加注册表项。由于.scr文件本质上是可执行文件,因此两个扩展名都可以用于后门植入。...Nishang框架包含一个PowerShell脚本,该脚本也可以执行此攻击,但与上述方法相比,它需要管理级别的特权,因为它在本地计算机中使用注册表项来存储将执行远程托管有效负载的PowerShell命令...一旦用户会话变为空闲,屏幕保护程序将执行PowerShell负载,然后将打开一个meterpreter会话。...利用屏幕保护程序的持久性技术的问题在于,当用户返回并且系统未处于空闲模式时,会话将中断。但是,红队可以在用户不在时执行其操作。如果屏幕保护程序被组策略禁用,则该技术不能用于持久性。
因此,持久性是红队成功运作的关键,这将使团队能够专注于目标,而不会失去与指挥和控制服务器的通信。 在Windows登录期间创建将执行任意负载的注册表项是红队游戏手册中最古老的技巧之一。...命令行 注册表项可以从终端添加到运行键以实现持久性。这些键将包含对用户登录时将执行的实际负载的引用,已知使用此持久性方法的威胁因素和红队使用以下注册表位置。...以下命令将创建一个注册表项,该注册表项将从与Metasploit Framework模块相同的注册表位置执行任意有效负载。...以下命令将在这些位置创建注册表项,这些注册表项将执行任意有效负载。...PowerShell将尝试在下次登录时运行Debug密钥中存储的有效负载,以实现持久性。
1017 系统试图将文件加载或还原到注册表中,但是,指定的文件不是注册表文件格式。 1018 试图在注册表键(已经标记为删除)中完成的操作非法。...1019 系统无法在注册表日志文件中分配所需的空间。 1020 无法在已经有子键或键值的注册表项中创建符号链接。 1021 在易失的父键下不能创建固定的子键。...1816 可用的配额不足,无法执行该命令。 1817 没有已注册的接口。 1818 远程过程调用被取消。 1819 绑定句柄不包含所有需要的信息。 1820 远程调用过程中发生通讯失败。...4000 WINS 在处理命令时遇到执行错误。 4001 无法删除本地的 WINS。 4002 从文件引入失败。 4003 备份失败。以前执行过完整的备份吗? 4004 备份失败。...7015 在远程站点回叫时检测到了占线信号。 7016 在回叫时远程站点上检测到了声音。 7017 传输驱动程序错误 7022 找不到指定的会话。 7023 指定的会话名称已处于使用中。
还需保存 system 的注册表项,因为其中保存了 NTDS 文件的解密密钥: reg.exe save hklm\system c:\exfil\system.bak ?...或者在 meterpreter 中域控的会话直接执行 hashdump 命令,这种方式比较危险,因为容易使域控崩溃,谨慎使用: ?...exeonly.zip 如果已经获得本地管理员凭据,则可以在本地或远程执行。...在执行期间,fgdump 将尝试禁用可能在系统上运行的防病毒软件,如果成功禁用则将结果保存在文件中,如果失败,则不进行提取,防止被检测,使用方法直接在域控上运行即可: fgdump.exe ?...总结 本文整理了各种工具,以各种方式提取 NTDS 中的所有域哈希,最好的方式就是在 DCSync 和离线提取,尽量不要在域控服务器上执行过多操作,以免对目标造成可用性上的威胁。
0x00前言 我在最近的学习过程中,发现PowerShell的命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对PowerShell的的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法...view=powershell-3.0 默认Powershell v2及以上支持能够记录当前会话中输入的命令,多个PowerShell的进程之间不共享,Powershell的进程退出后自动清除所有记录。...id=51451 注:安装前需要关闭的PowerShell进程可以通过命令行实现隐蔽安装,命令如下: msiexec /q /i PackageManagement_x64.msi 安装成功后,在控制面板的已安装程序列表...\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{57E5A8BB-41EB-4F09-B332-B535C5954A28} 只需要删除这个注册表项及子项即可实现在已安装程序列表中隐藏...删除注册表项的CMD命令: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{57E5A8BB-41EB-4F09
ID 任务类别 100 计划任务启动 102 任务已完成 106 计划任务注册 110 计划任务由用户触发 129 已创建计划任务 140 任务注册已更新(修改属性) 141 任务注册已删除(直接删除计划任务...出于性能原因,签名是异步创建的,并指示在加载后是否删除了文件。 事件ID 7:图像已加载 图像加载事件记录在特定过程中加载模块的时间。默认情况下,此事件是禁用的,需要使用–l选项进行配置。...事件ID 12:RegistryEvent(对象创建和删除) 注册表项和值的创建和删除操作映射到此事件类型,这对于监视注册表自动启动位置的更改或特定的恶意软件注册表修改很有用。...它是一个注册表键值,AppInit_DLLs 注册表项的作用是指示操作系统在每个用户登录时加载指定的 DLL 文件 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows...当给定的可执行文件被启动时,操作系统会检查注册表中的 IFEO 设置。如果找到了对应的注册表项,系统会自动启动所配置的调试器程序,并将目标可执行文件作为参数传递给调试器。
如果没有管理权限,PowerShell脚本加载程序将被放置在HKCU\Software\Microsoft\Windows\CurrentVersion\Applets注册表项中,然后使用以下命令将其注册到...在PowerShell可用的两种情况下,该恶意软件归档本身的主体将被存储在注册表项Software\Microsoft\Windows\CurrentVersion\Shell中,由Base64编码,并通过上述...服务模块 配置存储 该模块通过在Windows版本的HKCU\Software\Classes\TypeLib密钥中创建一个类似GUID的注册表项,安全地存储AES加密的恶意软件配置。...在初始执行时,它会立即通过修改受害者系统上的HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters注册表项来禁用SMBv1协议。...这种欺骗性的外观甚至包括对伪装的可执行文件的版本信息和进程图标的更改。主模块中的恶意软件功能定期监视木偶挖掘进程,并在必要时重新启动它。
领取专属 10元无门槛券
手把手带您无忧上云