从0到1学习网络安全|从0到1学习网络安全【权限维持之不一样的shfit后门】从0到1学习网络安全【权限维持

利用映像劫持打造不一样的Shfit后门

##实验环境：目标机-Win 7 攻击机-Kali Linux

演示过程：

最近研究留后门姿势发现一个比较有意思的跟大家分享一下，大佬勿喷！

0x00 大家一定都知道映像劫持后门，修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下sethc.exe，添加一个Debugger字符值（REG_SZ），并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe，如图：

文章图片
修改注册表 0x01 如上文所述，修改IFEO中的“debugger”键值，用来替换原有程序的执行。 如：键入五下Shift执行sethc.exe程序时会执行cmd.exe程序

文章图片
普通Shift后门
0x02 与上文对比，不一样的Shift后门是怎样的呢？

实现效果：键入五下Shift执行时，先执行sethc.exe程序，当sethc.exe程序静默退出时，执行cmd.exe程序

0x03 怀揣着0x02的目标我们开始复现，在网上收集资料时发现，注册表Image File Execution Options下有一个GlobalFlag项值，在MSDN的博客上，发现GlobalFlag由gflags.exe控制。文章地址：https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/

文章图片
博客截图.png
0x04 下载gflags.exe开始研究，在Silent Process Exit这个选项卡中发现了挺有趣的东西。根据微软官方介绍，从Windows7开始，可以在Silent Process Exit选项卡中，可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。

文章图片
填写配置 0x05 填入如上配置后点击应用，开始测试。使用Process Explorer进行检测进程的变化发现键入五下Shift执行时，先执行sethc.exe程序，当sethc.exe程序静默退出时，执行cmd.exe程序。完成目标 0x06 进一步研究，发现其实是工具帮我们添加并修改了IFEO目录下sethc.exe的GlobalFlag值，如图：

文章图片
工具自动添加值以及SilentProcessExit下ReportingMode和MonitorProcess两个项值，如图：

文章图片
工具自动添加值 0x07 那么，接下来我们可以修改上文中MonitorProcess值来放我们的后门，例如Powershell反弹shell，配合五下Shift就可以神不知鬼不觉的进行反连。 如：键入五下Shift后正常弹粘滞键，关闭之后执行我们的powershell代码，如图：

文章图片
powershell+shift后门
0x08 脑补一下连接成功的画面~实验结束，希望大佬勿喷。

文章图片
成功反弹shell 参考文章：
https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/
https://blog.csdn.net/johnsonblog/article/details/8165861
http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi