权限维持-Windows权限维持
1.注册表权限维持
Get-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' |
>> Format-List
可以看到这里有个flag.bat执行文件,我们去文件资源管理器里面看看这个目录
这好像是个base64编码拿去解密一下
flag{daduile}
2.计划任务权限维持
打开计划任务表
在login任务右键属性 点击操作即可看到启动程序
我们去到这个可疑程序的文件夹,右键在属性里面点击详情信息有个base64编码
拿去解码得到flag
flag{fewafeted}
3.自启动服务权限维持
自启动服务可以看一下事件ID7045,打开事件查看器在系统这里筛选事件ID,发现这里有个程序的名字很奇怪 serverr很可疑,拿去
重复上一步,定位到那个可以程序文件夹
在属性 详情信息这里看到base64编码拿去解码得到flag
flag{fewsidonfk}