权限维持-Windows权限维持

权限维持-Windows权限维持

1.注册表权限维持

 Get-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' |
>>   Format-List

image-20251017105451067

可以看到这里有个flag.bat执行文件,我们去文件资源管理器里面看看这个目录

image-20251017105648463

这好像是个base64编码拿去解密一下

image-20251017105735592

flag{daduile}

2.计划任务权限维持

打开计划任务表

image-20251017110146657

在login任务右键属性 点击操作即可看到启动程序

image-20251017110331490

我们去到这个可疑程序的文件夹,右键在属性里面点击详情信息有个base64编码

image-20251017110607167

拿去解码得到flag

flag{fewafeted}

3.自启动服务权限维持

自启动服务可以看一下事件ID7045,打开事件查看器在系统这里筛选事件ID,发现这里有个程序的名字很奇怪 serverr很可疑,拿去

image-20251017110848678

重复上一步,定位到那个可以程序文件夹

image-20251017111112482

在属性 详情信息这里看到base64编码拿去解码得到flag

flag{fewsidonfk}
posted @ 2025-10-17 11:14  0xMouise  阅读(5)  评论(0)    收藏  举报