将普通程序注册成服务

简介

由于在横向移动或者权限维持的过程中,有可能出现,需要使用windows 服务进行执行程序,然后由于windows 服务的机制,可能在运行的时候会出现断开连接的情况,这个时候我们就需要使用工具注册成服务的形式

exe

现在展示一下无服务的形式

首先生成一个普通的Exe payload

image-20240404095010688

开启一个msf 监听

image-20240404095302858

使用sc 模拟上线

image-20240404100114891

image-20240404100132400

由于不是服务所以直接被关闭了

msf-服务

现在尝试使用msf 自带的服务payload

image-20240404100435181

image-20240404101610344

该方法可能在免杀上有很大的难度,因为该方法的原理是进程迁移

手动创建服务

首先获取两个软件

srvany,srvany

image-20240404102534342

然后准备制作服务

这个paylaod 是第一章,直接使用的exe

然后

1
C:\Windows\system32>C:\Users\Administrator\Desktop\instsrv.exe test_servise C:\Users\Administrator\Desktop\srvany.exe

image-20240404103145788

image-20240404103338369

然后进入注册表

win+r -> regedit

然后找到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\你定义的服务名字

image-20240404104219191

image-20240404104309789

1
Parameters

image-20240404104343489

image-20240404104502359

或者创建一个.reg文件

1
2
3
4
5
6
Windows Registry Editor Version 5.00 
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务名称\Parameters] 
"Application"="值为你要作为服务运行的程序地址"
"AppDirectory"="值为你要作为服务运行的程序所在文件夹路径"
"AppParameters"="值为你要作为服务运行的程序启动所需要的参数"

image-20240404105401993

然后重启

重启前

image-20240404104601948

重启后

image-20240404105437188

而且这个是真的服务,不会被杀软杀掉,也不会掉线

#渗透
将普通程序注册成服务
https://tsy244.github.io/2024/04/04/渗透/将普通程序注册成服务/
Author
August Rosenberg
Posted on
April 4, 2024
Licensed under