后渗透之关闭防火墙、杀毒软件并开启远程桌面

目录

一. 关闭防火墙

二. 关闭windows Defender和DEP数据执行保护

三. 关闭杀毒软件

四. 开启远程桌面


当我们拿下一台主机后,想在主机上留后门,那么我们的首要任务就是关闭主机的防火墙。因为防火墙会把我们的后门程序进行拦截。我们用msf获取到了权限

一. 关闭防火墙

以下是在win7和win2008r2的机器上实验的,在administrator和system的权限下都能成功将防火墙关闭和开启。普通用户不行

1. 在system权限下执行

此时防火墙的状态是开启的,在meterpreter > 中输入shell进入shell界面,可知是system权限

输入如下,成功关闭防火墙

netsh advfirewall set allprofiles state off     #off换成on则开启

2. 在administrator权限下执行

netsh advfirewall set allprofiles state off

如下,也成功将防火墙关闭

二. 关闭windows Defender和DEP数据执行保护

Windows Defender,曾用名Microsoft Anti Spyware,是一个杀毒程序,保护计算机不收间谍软件以及不需要的软件的影响。可以运行在Windows XP和Windows Server 2003操作系统上,并已内置在Windows Vista,Windows 7,Windows 8,Windows 8.1和Windows10中。

win2008/2012/2016认没有安装windows defend,所以无需关闭

1. win7关闭windows Defender

以下在system和administrator权限下执行都能成功

如下,认开启了

(1)执行如下,进行关闭

net stop windefend

成功关闭

(2)关闭DEP数据执行保护

bcdedit.exe /set {current} nx AlwaysOff

三. 关闭杀毒软件

关闭杀软应该是最最重要的一步了,想让后门程序安全放行,那么杀软必定是一个最大的阻碍。我在win7上装了一个腾讯管家,在administrator和system权限下,尝试进行关闭

meterpreter > run post/windows/manage/killav

这里显示未检测到目标程序,未关闭成功!why?? who can tell me

四. 开启远程桌面

以下是在win7和win2008r2的机器上实验的,在administrator和system的权限下都能成功开启远程桌面。普通用户不行

先将远程桌面关闭

运行如下,成功开启了远程桌面

meterpreter > run post/windows/manage/enable_rdp

开启远程后,我们可以利用上一节获取到的用户名密码进行远程桌面连接

相关文章

Windows2012R2备用域控搭建 前置操作 域控主域控的主dns:自...
主域控角色迁移和夺取(转载) 转载自:http://yupeizhi.blo...
Windows2012R2 NTP时间同步 Windows2012R2里没有了internet时...
Windows注册表操作基础代码 Windows下对注册表进行操作使用的...
黑客常用WinAPI函数整理之前的博客写了很多关于Windows编程的...
一个简单的Windows Socket可复用框架说起网络编程,无非是建...