危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20612656

提权之程序自启动

危险漫步在提权的过程中,我们经常会用到一些服务启动项,通过替换服务启动项或者加载程序来执行我们的提权木马或者执行我们的提权命令,本文我跟大家分享一下Windows系统中的一些程序自启动方式。

一、利用程序自带的文件启动

1、大家最常使用的就是通过点击“开始”一“程序”一“启动”,在这里加载我们要启动的程序了。这个文件夹的路径为“C:\Documents and Settings\Administrator\『开始』菜单\程序\启动”。

2、使用AUTOEXEC.BAT,这是电脑上的自动批处理文件,也可以说是一个指令文档,始源于MS-DOS系统,我们可以在AUTOEXEC.BAT文件里输入任何适用于MS-DOS的指令,该文件在WindowsNT系统之前是在每次系统启动时都自动运行的,但是在NT以后的系统中,只有系统在启动命令提示符下才会自动运行,这个方法也是比较有效的,试想谁的电脑从不运行命令提示符呢?这个文件的具体位置就是“C:\WINDOWS\system32”目录下的一个名为AUTOEXEC.NT的文件(NT以后版本的命名方式)。

3、使用config.sys,config.sys是在autoexec.bat(自动批处理程序)文件执行前所载入的,它是DOS系统中的一个非常重要的文件,它的配置会直接影响到系统的使用及其效率。如果配置不当的话,可能很多程序都无法正常运行。因此,正确合理的配置config.sys文件将是十分必要和重要的,关于这个文件的具体配置大家可以参考百度百科里的介绍,这里我就不多说了,不过需要强调的是,在NT以后的系统中该文件被命名为了config.NT,具体路径就是在“C:\WINDOWS\system32”下。

4、使用win.ini,这个文件影响Windows操作环境的部分,包括在启动Windows时执行哪一个应用程序,警告声音的设置、窗口边框的宽度、键盘响应的速度、鼠标设置以及将文件定义为文档或程序等。这也是在系统启动时会自启动的一个文件,该文件的路径为“C:\WINDOWS”。

5、使用system.ini,该文件位于“C:\WINDOWS”目录下,我们在cmd下输入“msconfig”也可调用出来,这个文件里的内容也是系统在启动时自动执行的。关于系统在启动时所运行的文件还有很多,这里我就不一一介绍了,有兴趣的朋友可以到百度百科参考一下。

二、利用注册表修改

1、我们知道在注册表中可以通过修改“HKEYLOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionlRun”下的内容进行自启动,很多杀毒软件都是通过这种方式启动的,其实能启动的远不止这个run,凡是在注册表中以run开头的都可以,在同目录下的RunOnce和RuOnceEx也是可以的。

2、关联文件打开方式,也就是更改文件的打开方式,这样就可以在程序打开某一类型的文件时而打开我们指定的文件了;此修改方法是在注册表的“HKEY_CLASSES_ROOT\exefile\shell\open\command”下,默认的数值是“"%1"%*”,我们可以修改为“yechonger.exe"%1”%*”。

这样在打开一个exe文件的时候就会运行ryechonger.exe这个文件了,前段时间在论坛上有人编写了一个病毒,运行后电脑上所有文件的图标都改为了自定义的图标(这点类似于熊猫烧香病毒),其次是只要你运行OQ或者杀毒软件,都会使他的木马上线,我想这点就是使用了这种方法吧。病毒自带了下载功能,并且修改了此处的注册表,所以电脑在中毒后就会自动下载他空间中的木马,然后修改此处的注册表,之后不管你运行什么样的exe文件,都会使他的木马上线,不知道那位仁兄制作的病毒的原理是否如此!

3、还有一种修改注册表实现自启动的方法,就是在“HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows”下新建一个键值,然后将该键值的字符串改为我们想要启动的程序就可以了,这种方法比较隐蔽,一般利用工具是很难看到此处有程序被加载的。

三、利用屏幕保护程序

电脑在静置一段时间后基本上都会出现屏幕保护,这说明屏幕保护程序也是自启动的一种方式。Windows的屏幕保护程序是一个.scr文件,文件默认路径是“C:\Windows\system32”。

上面就是我电脑中的屏幕保护程序,这里要说明一下,对于屏保的scr文件,我们将它改为exe或bat后仍然可以运行的,因此我们可以通过替换这些文件来达到让我们的程序自启动的目的。

至于程序中自启动的服务还有很多,像在电脑中安装某些软件,软件本身都会带有自启动的服务组件,这些我们都可以在电脑的服务中看到。文章就先介绍这些,本人水平有限,如果文中有不足之处还请到危险漫步博客上多多指点。

相关推荐