Windows持久化工具（Sharp4Stay）

点击上方蓝字关注我们

**建议大家把公众号“TeamSecret安全团队”设为星标，否则可能就看不到啦！**因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【...】，然后点击【设为星标】即可。

                   免责申明

"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些信息。请注意，任何未经授权的使用或由此产生的直接或间接后果和损失，均由使用者自行承担。我们提供的资源和工具仅供学习和研究之用，我们不鼓励也不支持任何非法活动。"

"我们创建这个社区是为了促进技术交流和知识分享。我们希望每位成员都能在遵守法律法规的前提下参与讨论和学习。如果使用本文档中的信息导致任何直接或间接的后果和损失，我们提醒您，这将由您个人承担。我们不承担由此产生的任何责任。如果有任何内容侵犯了您的权益，请随时告知我们，我们将立即采取行动并表示诚挚的歉意。我们感谢您的理解和支持。"

                       前言

红队成员在获得某台主机的控制权后，会优先考虑将其转变为一个持久化的操作基地。他们会部署一个具备持久化功能的后门程序，确保能够随时重新接入该主机，以进行更深层次的渗透操作。简而言之，一旦捕获了目标，就不会轻易放手，确保能够持续利用这一优势。

          Sharp4Stay持久化工具

SharpStay 是一款针对.NET环境设计的持久化工具，它允许用户通过多种技术手段在Windows系统中建立并维持对目标机器的访问权限。

https://github.com/0xthirteen/SharpStay

如何使用SharpStay工具执行不同的持久化操作。每个命令都指定了一个操作（action），以及相关的参数来定义该操作的具体行为。

ElevatedRegistryKey：在HKCU（当前用户）的注册表中创建一个需要管理员权限的键值，用于在系统启动时执行指定的命令。

Sharpstay.exe action=ElevatedRegistryKey keyname=Debug keypath=HKCU:Software\Microsoft\Windows\CurrentVersion\Run command="C:\Windows\temp\fun.exe"

UserRegistryKey：在HKCU中创建一个不需要管理员权限的键值，用于执行指定的命令。

Sharpstay.exe action=UserRegistryKey keyname=Debug keypath=HKCU:Software\Microsoft\Windows\CurrentVersion\Run command="C:\Windows\temp\fun.exe"

UserInitMprLogonScriptKey：利用用户初始化MPRL脚本注册表键来执行登录脚本。

Sharpstay.exe action=UserInitMprLogonScriptKey command="C:\Windows\temp\fun.exe"

ElevatedUserInitKey：创建一个需要管理员权限的用户初始化键，用于执行命令。

Sharpstay.exe action=ElevatedUserInitKey command="C:\Windows\temp\fun.exe"

ScheduledTask：创建一个计划任务，指定任务名称、执行的命令、运行的用户、触发类型、作者、描述和登录用户。

Sharpstay.exe action=ElevatedUserInitKey command="C:\Windows\temp\fun.exe"

ScheduledTask：创建一个计划任务，指定任务名称、执行的命令、运行的用户、触发类型、作者、描述和登录用户。

Sharpstay.exe action=ScheduledTask taskname=TestTask command="C:\windows\temp\file.exe" runasuser=user1 triggertype=logon author=Microsoft Corp. description="Test Task" logonuser=user1

ScheduledTaskAction：向指定的计划任务添加一个执行动作。

Sharpstay.exe action=ScheduledTaskAction taskname=TestTask command="C:\Windows\temp\fun.exe" folder="\\" actionid=ExecAction

SchTaskCOMHijack：劫持计划任务的COM处理程序，通过指定的CLSID和DLL路径。

Sharpstay.exe action=SchTaskCOMHijack clsid={a47af52a-27f9-4426-bd2b-727050712db1} dllpath="C:\windows\temp\fun.dll"

CreateService：创建一个新的服务，用于执行指定的命令。

Sharpstay.exe action=CreateService servicename=TestService command="C:\Windows\temp\fun.exe"

WMIEventSub：创建一个WMI事件订阅，当指定的事件（如系统启动）发生时执行命令。

Sharpstay.exe action=WMIEventSub command="C:\Windows\temp\fun.exe" eventname=Debugger attime=startup

JunctionFolder：创建一个连接文件夹，指向指定的DLL路径。

Sharpstay.exe action=JunctionFolder dllpath="C:\windows\temp\fun.dll guid={a47af52a-27f9-4426-bd2b-727050712db1}

NewLNK：在指定的文件路径创建一个新的快捷方式，指向目标程序，并设置图标。

Sharpstay.exe action=NewLNK filepath="C:\users\admin\desktop" lnkname="Notepad.lnk" lnktarget="C:\Windows\temp\file.exe" lnkicon="C:\Windows\system32\notepad.exe"

BackdoorLNK：创建一个后门快捷方式，指向指定的命令。

Sharpstay.exe action=BackdoorLNK command="C:\Windows\temp\fun.exe" lnkpath="C:\users\user\desktop\Excel.lnk"

ListTaskNames：列出所有计划任务的名称。

Sharpstay.exe action=listtasknames

ListScheduledTasks：列出所有计划任务的详细信息。

Sharpstay.exe action=ListScheduledTasks

ListRunningServices：列出所有正在运行的服务。

Sharpstay.exe action=ListRunningServices

GetScheduledTaskCOMHandler：获取指定计划任务的COM处理程序信息。

Sharpstay.exe action=GetScheduledTaskCOMHandler

                    技术点

ScheduledTask

计划任务的持久化能力使其成为一种理想的后门技术。红队可能会用计划任务来保持对被系统的控制，通过设置隐蔽的任务来在系统重启或特定事件触发时执行恶意代码。这种技术的优势在于它的隐蔽性和可靠性——计划任务通常被设计为在后台运行，不易被用户察觉，且即使在系统崩溃或重启后也能继续执行。

CreateService

Windows服务作为持久化手段，提供了一种在系统重启后仍能维持访问权限的有效方法。它们以系统权限运行，具有高度隐蔽性，能够自启动，且不依赖用户会话，使得它们在安全领域中既是系统管理的利器。

ElevatedUserInitKey

使用修改注册表中的UserInit键来实现持久化是一种常见的技术，尤其是在Windows环境中。UserInit键位于HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows路径下，它定义了用户登录时执行的脚本或程序。通过修改这个键，可以在用户登录时自动运行恶意代码，从而实现持久化访问。

UserInitMprLogonScriptKey

UserInitMprLogonScript是Windows注册表中的一个键，它位于HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System路径下。这个键用于指定在用户登录时执行的额外脚本或命令。通过修改这个键，可以在用户登录时执行特定的脚本或程序，实现持久化访问。它只会影响当前登录的用户，而不会影响系统中的其他用户。

SchTaskCOMHijack

COM劫持是一种通过修改Windows注册表中的CLSID条目来实现的高级持久化技术。它通过替换或劫持一个合法的COM组件，使得当应用程序尝试调用原始组件时，实际上是在执行一个恶意的DLL。这种技术具有高度隐蔽性，因为应用程序看似正常运行，但实际控制权已被恶意代码接管。实施COM劫持需要深入了解Windows注册表和COM架构，同时也需要具备相应的编程技能来创建恶意的COM对象。

WMIEventSub

WMI事件订阅持久化是一种高级技术，它通过在Windows系统中设置WMI事件订阅来实现。当特定的系统事件触发时，这个订阅可以自动执行指定的脚本或程序，从而实现长期的访问权限。这种技术的优势在于其隐蔽性和自动化，因为WMI是系统正常运行的一部分，其活动很难被普通用户或安全软件检测到。

Junction Folders

Junction Folders持久化是一种在Windows系统中通过创建符号链接来实现的隐蔽技术。攻击者利用这种技术可以将一个目录重定向到另一个位置，例如，将一个看似正常的系统目录链接到攻击者控制的目录。这样，即使在系统重启之后，恶意活动也可以继续执行，因为符号链接保持了指向目标位置的引用。

                   免杀效果

• Defender

• Kaspersky

                 加入纷传

掌握免杀艺术，深入内网核心。

我们是您网络安全技能提升的加速器，专注于免杀技术和内网渗透的深度培训。在这里，您将学习如何无声无息地穿透防御，掌握网络安全的高级技巧。

• 免杀专精：学会如何在不触发警报的情况下进行有效渗透。

• 内网精通：深入网络的心脏地带，学习如何识别和利用关键漏洞。

• 实战演练：通过模拟真实攻击场景，提升您的应对策略。

加入我们，让免杀和内网渗透成为您网络安全职业生涯的利器。

Tips:

每周不定时纷传小圈子都会开启公开课！

       TeamSecret安全团队初衷

我们的目标是：

• 知识普及：让更多人了解网络安全的基础知识和最新动态。

• 技能提升：为网络安全从业者和爱好者提供实战技能的提升。

• 案例分析：深入剖析国内外网络安全事件，提炼经验教训。

• 攻防演练：模拟攻击与防御场景，提高应对网络威胁的能力。

我们的内容涵盖：

• 攻击队常用的网络攻击技术与工具。

• 网络攻防演练的策略与实战案例。

• 系统漏洞分析与防御措施。

• 网络安全法律法规与伦理道德。

• 网络安全行业动态与未来趋势。

加入我们，您将获得：

• 专业的网络安全知识分享。

• 与行业专家的互动交流机会。

• 网络安全防护的实用技巧。

• 网络安全事件的深度解析。

安全第一，技术先行。 我们相信，通过不断的学习和实践，我们能够共同构建一个更加安全、稳定的网络环境。

关注我们，一起探索网络安全的奥秘，成为网络世界的守护者！

添加作者微信发送：进群，邀请你加入学习交流群