这篇文章将为大家详细讲解有关Windows中怎么利用Telemetry实现权限维持,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。
如果你不想花时间了解该技术背后的原理,那你可以直接按照下列方法进行操作即可:
确保你的目标设备能够正常联网。
向下列注册表项中添加任意名称的注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController
在这个新建的注册表键中,创建一个类型为“Reg_SZ”的项,然后设置其名称为“Command”,值设置为一个起始的.exe文件。
创建一个DWORD键用于实现持久化,比如说“Nightly”或“Oobe”然后将它们的值设置为“1”,其中只有“Nightly”需要每24小时运行一次。
接下来,它就可以通过Windows的计划任务每24小时自动运行一次了。
你还可以使用下列命令进行测试,或在计划任务菜单中手都开启:
schtasks /run /tn “\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser”
为了方便大家理解,我们给出的注册表中的配置图,并将notepad.exe设置为自动运行目标:
首先,“c:\windows\system32\CompatTelRunner.exe”是一个二进制文件,用来运行各种遥测任务。就其本身而言,二进制文件并不会收集太多数据。CompatTelRunner会检查一些系统信息,并确保网络已连接,然后通过运行各种命令来执行实际的遥测数据收集,我们可以把它想象成一个遥测管理器。
这个二进制文件似乎是为了易于扩展而创建的,而它将依赖于注册表来指示运行哪些命令。问题是,它将运行任何不受位置或类型限制的任意命令。乍一看,这可能是一个严重的安全问题,但我不认为是这样。如果您已经获得了对系统的管理访问权(执行此过程所必需的),那么您已经有了各种各样的选项可供利用。
当“CompatTelRunner.exe”(当前版本为2020年5月的版本)运行时,它首先会检查一些条件是否通过,然后再继续它的遥测任务。此时,必须满足下列条件之一:
目标系统为Windows 10/Server 2019;
目标系统是一个Windows客户端版本;
“HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Policies\DataCollection\CommercialDataOptIn”是一个DWORD,并且不等于“0”;
有趣的是,这些检查是在Windows Server 2016发布后的某个时候添加的。在“CompatTelRunner.exe”更新之前,它并不会执行这些检测,而且无论目标Windows系统是什么版本,这个可执行文件都将运行注册表项中的命令。
检查执行完成后,命令行参数的存在与否将决定程序的运行模式,这里总共有三种运行模式,分别对应于一些不同的条件。
如果提供了指定DLL/函数的命令行参数,“CompatTelRunner.exe”将根据白名单列表来对它们进行验证。这将导致CompatTelRunner.exe”启动DLL provider并退出。如果没有提供DLL/函数名,程序将继续识别为运行模式。
如果存在HKEY U LOCAL U MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController\OOBE并且未提供“-maintenance”参数,那么程序将以第二种模式-OOBE运行。这个注册表键会在检测完成之后被删除。如果提供了“-maintenance”参数,那么我们将验证是否可以运行并进入运行模式“0”。验证内容包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController\TestAllowRun设置为不为零的REG_DWORD或通过系统状态验证。
验证条件如下:
“Power Saver”不能处于活动状态,如果处于活动状态,那么程序将无法通过验证;
目标设备必须接通电源,否则程序将无法通过验证;
如果程序已连续四次无法通过验证,并且目标设备的电池状态为未知状态、电池电量大于5%或正在充电的话,程序将通过验证;
验证通过之后,程序将会把注册表键“RunsBlocked”的值重置为“0”.如果验证未通过,程序将会把注册表键“RunsBlocked”的值增加“1”。
如果没有传递命令行参数,那么“CompatTelRunner.exe”将会进入运行模式1(Nightly)。
运行模式识别完成后,程序还会对计划任务执行某些检测。接下来,程序将会在内部调用RunTelemetry,即执行遥测任务。
如果运行模式为0,那么程序还会执行额外的检测,如果这些检测均通过,或运行模式不为0,那么程序将会打开下列注册表项:
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\TelemetryController
程序将会遍历该目录下的所有子健,然后在初始化调用中用它们来完成数据结构的填充:
接下来,我们的命令将会加载进如下所示的缓冲区结构中:
char command[520] = {0}; StringCchCatW(command, 260, L”%ls %ls%hs”, this->CommandStr, L”-cv”, <Some Random looking string>);
根据程序的运行模式和计划任务调度模式,我们还可以在命令行中添加“-oobe”或“-fullsync”等参数。最后,这些命令将会以第二个参数传递给“CreateProcessW”,这相当于将其作为shell命令运行。
关于Windows中怎么利用Telemetry实现权限维持就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。