使用PDQ自动执行PowerShell或CMD来查找和删除注册表项 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于合法RMM工具的隐蔽远程访问攻击机制与防御策略研究

主流RMM解决方案如Atera、PDQ Deploy、ITarian（Comodo One RMM）及SimpleHelp均提供合法数字签名的安装程序，并常被企业授权使用。...若发现RMM进程连接至新注册域名、IP直连或非常规端口，应视为可疑。...= "IT"THEN isolate_browser OR block4.3 用户层：意识强化与UI干预策略5：操作系统级提示覆盖通过组策略或MDM推送注册表项，在用户尝试从非内置渠道更新浏览器时显示警告...，立即执行：终止相关进程；删除服务与计划任务；清除注册表启动项；隔离主机。...有效的防护必须结合终端应用控制、行为基线分析、网络流量上下文感知与自动化响应，形成闭环。安全团队需重新审视“合法即安全”的假设，将检测焦点从文件本身转移至其使用上下文。

3101 0

基于合法RMM工具的多阶段持久化攻击检测与防御研究

类似地，PDQ Deploy支持通过命令行指定部署服务器地址；Atera允许通过注册令牌（registration token）绑定到特定账户。所有这些机制均为产品原生功能，无需逆向或篡改。...2.3 持久化与权限提升RMM代理安装后，通常以系统服务形式运行（如RmmService.exe、PDQDeployService.exe），并自动配置以下持久化机制：Windows服务注册：在HKLM...2.4 后续载荷投递与横向移动一旦RMM通道建立，攻击者通过其管理界面执行以下操作：文件上传：将Mimikatz、Cobalt Strike Beacon等工具上传至临时目录；脚本执行：运行PowerShell...若组织本就使用PDQ或Atera，沙箱可能将RMM安装判定为“正常IT活动”。此外，沙箱运行时间有限（通常cmd.exe或powershell.exe；从C:\ProgramData\RMM\temp目录执行脚本；在非IT部门主机上出现

2771 0

您找到你想要的搜索结果了吗？

是的

没有找到

windows提权看这一篇就够了

此模块修改注册表项，但在调用payload后将清除该项。该模块不需要payload的体系架构和操作系统匹配。...此模块修改注册表项，但在调用payload后将清除该项。该模块不需要payload的体系架构和操作系统匹配。...则应在单独的进程中启动payload后调用ExitProcess（） exploit/windows/local/bypassuac_comhijack#此模块将通过在hkcu配置单元中创建COM处理程序注册表项来绕过...此模块修改注册表项，但在调用payload后将清除该项,这个模块需要payload的体系架构和操作系统匹配，但是当前的低权限meterpreter会话体系架构中可能不同。...('命令');#使用函数 drop function cmd_shell; #删除函数 #也可以自动化过程，使用sqlmap自动化上传插件 python sqlmap.py -u 'xxxx' --

4.1K2 0

windows提权看这一篇就够了

18.1K3 1

SharPersist：一款渗透测试中实现Windows系统常驻的套件

建立持久性有两个关键组件：持久性植入和持久性触发，如下图所示。持久性植入是指恶意payload，例如可执行文件（EXE），HTML应用程序（HTA），动态链接库（DLL），或其他形式的代码执行。...持久性触发是指恶意代码的执行，例如计划任务或Windows服务。有几种已知的持久性触发的方法可以在Windows上使用，例如Windows服务，计划任务，注册表和启动文件夹等。...注册表持久性 SharPersist中支持的注册表项的完整列表如下表所示。注册表项代码（-k）注册表项注册表值是否需要管理权限？支持 Env 可选附加组件（-o env）？...下图中显示的示例在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”注册表项中创建名为“Test”的注册表值，其值为“cmd.exe/c calc.exe...计划任务后门持久性可以将计划任务配置为一次执行多个操作，此技术将通过添加其他操作来后门后门现有的计划任务。我们需要做的第一件事就是查找一个用于后门的计划任务。

2.2K0 0

某远控RCE绕过某数字的利用方式

不过我们仍然可以用另一个Payload来执行一些常用命令，只要System32或SysWOW64目录下存在的系统程序大部分都可以执行，这样360是不会拦的，不过这种方式只能用做简单的信息搜集。.../c这种方式来执行，注意必须把cmd路径中的/正斜杠改为\反斜杠。...C:\Progra~1\Oray\SunLogin\SunloginClient\config.ini 因为较高版本的向日葵将ID和Pass写进注册表里了，所以在配置文件中是找不到的，可通过执行以下命令读取对应注册表项获取...可以使用sc qc命令查询向日葵服务得到安装路径，或者读取向日葵服务对应的注册表项。...(3) 网站路径写Webshell 如果目标主机有Web，我们可以用dir命令逐级查找Web目录，或直接根据网站上存在的脚本、图片、JS等文件来查找，也可以读取iis配置文件等，找到后写入Webshell

1.9K1 0

Avos Locker 远程访问盒子，甚至在安全模式下运行

在这种情况下，有一个事件日志条目显示正在执行的 base64 编码的 PowerShell 脚本，结果输出到名为execute.bat的文件中，然后运行该文件，最后将其删除。...这些编排脚本修改或删除了注册表项，这些注册表项有效地破坏了属于特定端点安全工具的服务或进程，包括来自卡巴斯基、Carbon Black、趋势科技、赛门铁克、Bitdefender 和其他公司的内置 Windows...然后，他们将机器设置为在重新启动到安全模式时自动登录。攻击者还会禁用某些网络使用的某些注册表项，以便在登录时显示“法律通知”。...也就是说，Sophos 产品会在行为上检测各种 Run 和 RunOnce 注册表项的使用，以执行诸如重新启动到安全模式或在重新启动后执行文件之类的操作。...我们一直在改进这些检测以减少误报，因为有许多完全合法的工具和软件使用这些注册表项进行正常操作。

1.8K3 0

基于RMM工具的隐蔽远程控制攻击机制与防御体系研究

研究表明，此类攻击通过注册表Run键、计划任务等方式实现持久化，并借助RMM内置的脚本执行、文件传输和远程桌面功能，在不触发传统EDR告警的前提下完成凭证窃取、内网侦察乃至域控渗透。...更值得警惕的是，一旦RMM代理注册成功，攻击者即可通过其管理控制台（如WP-Panel风格的Web界面）下发PowerShell脚本、执行Mimikatz抓取凭证、上传敏感文件，甚至将受控主机作为跳板渗透域控...会议/派对邀请：邮件附件或链接指向名为“MicrosoftTeams.msi”或“Party_Card_Viewer.msi”的文件，实际为PDQ Connect或Atera安装包。...2.4 通信隐蔽性分析C2通信具有以下特征：使用Let's Encrypt证书的HTTPS连接；域名结构高度一致（如*.cloud、.us、.com），且多为近期注册；流量内容为JSON-RPC或Protobuf...行为语义缺失：RMM进程的子进程（如powershell.exe、cmd.exe）若未关联到异常父进程上下文，其恶意行为（如调用Mimikatz）易被忽略。

2981 0

BypassUAC技术总结

：Know DLLs注册表项指定的DLL是已经被操作系统加载过后的DLL，不会被应用程序搜索并加载。...实践出真知2 这里使用第三种方法进行实验，实验对象是eventvwr.msc，它是管理工具中的事件查看器，它依赖于mmc.exe来运行。...在net4.0以前，若检查通过，会马上去查找COR_PROFILER指定的注册表项，找到其dll路径并加载 net4.0后，会先查找COR_PROFILER_PATH是否指定dll文件路径，若没有再去查找...COR_PROFILER指定的注册表项，找到其dll路径并加载。...，就可以以此来创建高权限cmd窗口。

1.2K3 0

常规安全检查阶段 | Windows 应急响应

安全描述符定义了对任务的访问权限和安全设置，包括哪些用户或组有权访问、更改或删除任务。...事件ID 12：RegistryEvent（对象创建和删除）注册表项和值的创建和删除操作映射到此事件类型，这对于监视注册表自动启动位置的更改或特定的恶意软件注册表修改很有用。...有一些恶意软件变体会通过下载浏览器来删除其可执行文件或配置设置，并且该事件旨在基于基于附加了Zone.Identifier“网络标记”流的浏览器来捕获它们。...他们可以修改注册表项或替换系统文件，以确保每次应用程序启动时都会加载恶意的Shim代码。...如果找到了对应的注册表项，系统会自动启动所配置的调试器程序，并将目标可执行文件作为参数传递给调试器。这样，开发人员就可以使用调试器来监视和分析目标应用程序的运行过程，以便调试和解决问题。

3.3K1 0

Windows手工入侵排查思路

Windows系统被入侵后，通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等，给业务系统带来不稳定等诸多问题。...检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，根据实际应用情况，保留或删除。...检查隐藏账号方法： CMD命令行使用”net user”,看不到”test$”这个账号，但在控制面板和本地用户和组是可以显示此用户的。检查克隆账号方法：打开注册表，查看管理员对应键值。...c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项： HKEY_CURRENT_USER\software\micorsoft\windows...默认Powershell v5支持,Powershell v3和Powershell v4，需要安装Get-PSReadlineOption后才可以使用。

2.5K3 0

Window权限维持（四）：快捷方式

现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。 usemodule persistence/userland/backdoor_lnk ?...查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中，因此暂存器将在下一次Windows登录中执行，并且将与命令和控制服务器建立连接。...可以通过执行以下命令来调用此技术： install-persistence 3 ? 在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager。 ?...EmpireEmpire包含一个持久性模块，该模块可以后门合法的快捷方式（.LNK），以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...可以通过执行以下命令来调用此技术：install-persistence 3PoshC2 –启动LNK文件在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager

1.9K3 0

如何清理系统中残留的软件数据？

方法一：使用第三方清理工具推荐工具：CCleaner：提供系统垃圾清理、注册表扫描和软件卸载功能。IObit Uninstaller：支持强力卸载并清理残留文件和注册表项。...打开工具并选择“清理”或“卸载”选项。扫描系统以检测残留的软件数据。根据提示删除检测到的残留文件和注册表项。...方法二：手动删除残留文件步骤：找到软件的安装目录（通常位于C:\Program Files或C:\Program Files (x86)）。删除整个文件夹及其子文件夹。...方法四：使用PowerShell清理残留文件步骤：打开PowerShell（管理员权限）：按下Win + X键，选择“Windows PowerShell（管理员）”。...方法七：重新安装软件以覆盖残留数据步骤：如果希望确保所有残留数据被清除，可以尝试重新安装软件：安装过程中通常会覆盖旧的配置文件和注册表项。安装完成后立即卸载软件以确保没有残留数据。

4.9K1 0

权限维持方法小结

（这里的开机是指用户登录，也就是说只要有登录操作就会执行） RunOnce键值类似于 Run 键值，唯一的区别在于，RunOnce 键值只执行一次，操作执行后会被自动删除用户级 HKEY_CURRENT_USER...，WinLogon进程加载的指定的login scripts，可以更改它的值来添加与删除程序。...：AppInit_DLLs和LoadAppInit_DLLs(win2003没有，但是可以新建)，Use***.dll被加载到进程时，会读取AppInit_DLLs注册表项，如果有值，调用LoadLibrary.../3gstudent/Waitfor-Persistence 检测及查杀留意后台进程waitfor.exe 使用Process Explorer查看后台可疑的cmd.exe和powershell.exe...，比如：Microsoft OMS, Windows Event Forwarding 查找Mimikatz的相关依赖使用组策略来注销已断开的会话或者空闲的用户会话（10）shim 参考：渗透测试中的

4.2K1 0

利用计划任务进行权限维持的几种姿势

有效负载可以从磁盘或远程位置执行，它们可以是可执行文件、powershell脚本或scriptlet的形式。...，并且可以具有到期日期和自删除功能。...计划任务注销– Meterpreter 或者，可以使用PowerShell创建计划任务，这些任务将在用户登录时或在特定时间和日期执行。...以下配置每天凌晨03:22将执行基于PowerShell的有效负载。有效负载存储在注册表项中，任务名称为“ WindowsUpdate ”，以便区分合法的计划任务。...Empire – 持久性计划任务计划任务的提升模块提供了在用户登录期间执行有效负载的选项。在这两个模块中，都将使用注册表以Base64编码格式存储有效负载，但是以不同的注册表项存储。

3.3K2 0

服务隐藏与排查 | Windows 应急响应

，我们分析一下刚才的权限设置这里似乎对 SYSTEM 并没有限制，那我们使用 SYSTEM 权限执行这些常规检查是否可以看到呢 0x06 枚举法思路就是先获取注册表中服务名称，之后通过 sc query...SYSTEM 启动 services.msc services.msc 看不到 powershell 看不到 wmic 看不到创建低权限的用户组和新用户也不行看来高权限法不行 0x08 删除服务...尝试删除注册表项尝试在 Meterpreter 中远程完成删除 reg deletekey -k "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services...\test" 注册表项成功被删除，这下我们原来的脚本应该也查不到隐藏的服务了服务不受影响，这个看了上一篇文章的朋友们肯定有预期了，修改注册表对服务来说会在下次启动的时候才会有作用 sc qc 进行查询显示找不到指定的文件...SDDL 进行隐藏的服务恶意直接按照文中的方法，重新赋权，就可以删除或停止了对于进行了 SDDL 同时删除了注册表项的服务，需要通过重启来进行删除

1.1K1 0

Windows之注册表介绍与使用安全

●查找要导入的文件，单击选中该文件，再单击“打开”。 1.4.3 更改项和值 1.4.3.1 查找字符串、值或注册表项 ●单击“编辑”菜单中的“查找”。...●在“查找目标”框中，键入要查找的字符串、值或注册表项。 ●选中“项”、“值”、“数据”和“全字匹配”复选框，以匹配要搜索的类型，然后单击“查找下一个”。...1.4.3.5 删除注册表项或值单击要删除的注册表项或值项。在“编辑”菜单上，单击“删除”。注意:可以从注册表中删除注册表项和值。...但是，不能删除预定义项（例如 HKEY_CURRENT_USER）或更改预定义项的名称。 1.4.3.6 重命名注册表项或值单击要重命名的注册表项或值项。在“编辑”菜单上，单击“重命名”。...注意:不能重命名根注册表项或注册表项的默认值。 1.4.3.7 更改项和值的重要注意事项 ●如果您犯了一个错误，导致计算机无法正常启动，可以使用还原注册表的方法。。

2.5K2 0

利用注册表键值Bypass UAC

HKCU是当前用户注册表项，权限限制不严格。...使用Powershell中的New-Item命令就可以在指定注册表中创建一个新的键，使用命令New-Item "HKCU:\Software\Classes\ms-settings\Shell\Open...\command" -Force来创建一个新的注册表项。...执行fodhelper.exe便会得到一个已经绕过UAC限制的CMD，上述操作汇总成Powershell脚本来执行。...可以在default值中设置启动程序，在Powershell中运行代码清单4-23所示代码，执行结果如图1-9所示，虽然像这种注册表的Bypass UAC还有很多，不过大部分都只能针对Windows 10

1.4K1 0

如何获得PowerShell命令的历史记录

view=powershell-5.1 默认Powershell v5支持Powershell v3和Powershell v4，需要安装Get-PSReadlineOption后才可以使用。...Powershell v3和Powershell v4的安装和使用这里以64位系统为例，安装方法如下：（1）安装PowerShellGet 下载：https://www.microsoft.com/...\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{57E5A8BB-41EB-4F09-B332-B535C5954A28} 只需要删除这个注册表项及子项即可实现在已安装程序列表中隐藏...删除注册表项的CMD命令： reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{57E5A8BB-41EB-4F09...如果系统是Powershell v3或Powershell v4，可通过命令行安装PSReadLine，这样就能记录后续系统所有的Powershell命令。

15.1K3 0

cmdpowershellanaconda prompt提示“系统找不到指定的路径”

在Win10 cmd 或 anaconda 命令行中，会遇到输入命令前先弹出“系统找不到指定的路径”的问题。本文记录解决方案。...问题描述打开命令行 (cmd.exe)或者powershell，anaconda prompt等，提示“系统找不到指定的路径”(“The system cannot find the path specified...”) 原理在windows系统中，打开一个命令行 (cmd.exe)或者类似的anaconda prompt, 下面两个注册表项会被自动检测: HKEY_LOCAL_MACHINE\Software...”（autoexec-like)，因此需要你检查这两个注册表项的内容(两个项都可以包含"AutoRun"，且都会执行，先后顺序没详细看——有心人可以去写两个.bat文件去看看）解决键盘按下win+r...键入regedit（或者在命令行中键入regedit）打开注册表，查看下面两个注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor HKEY_CURRENT_USER

6.9K2 0

点击加载更多

基于合法RMM工具的隐蔽远程访问攻击机制与防御策略研究

基于合法RMM工具的多阶段持久化攻击检测与防御研究

windows提权看这一篇就够了

windows提权看这一篇就够了

SharPersist：一款渗透测试中实现Windows系统常驻的套件

某远控RCE绕过某数字的利用方式

Avos Locker 远程访问盒子，甚至在安全模式下运行

基于RMM工具的隐蔽远程控制攻击机制与防御体系研究

BypassUAC技术总结

常规安全检查阶段 | Windows 应急响应

Windows手工入侵排查思路

Window权限维持（四）：快捷方式

如何清理系统中残留的软件数据？

权限维持方法小结

利用计划任务进行权限维持的几种姿势

服务隐藏与排查 | Windows 应急响应

Windows之注册表介绍与使用安全

利用注册表键值Bypass UAC

如何获得PowerShell命令的历史记录

cmdpowershellanaconda prompt提示“系统找不到指定的路径”

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐