简单来说持久化就是开后门,目标机器重启或者漏洞修补后仍可以继续控制,比如通过钓鱼获得初始权限后,如果没做持久化Beacon 丢失可能就很难再次获得,安装持久化通常需要进行一些配置更改或将后门写入磁盘,一方面持久化具有很高的检测风险,另一方面在长期渗透中非常有用(实际上是必不可少的),因此需要在保持控制和被发现之间进行平衡
持久化可以在用户权限(例如以当前用户身份)或在提权后(例如 SYSTEM)执行。提权后的持久化要求我们首先成为主机上的本地管理员,如何提权将在接下来“特权提升”章节中介绍
常见的用户空间持久化方法包括:
1、HKCU/HKLM 注册表自动运行
2、计划任务
3、启动文件夹
Cobalt Strike 不包含任何专门用于持久化的内置命令
SharPersist是FireEye编写的 Windows 持久化工具包,它用 C# 编写,因此可以通过execute-assembly执行。
标签:持久,主机,用户,提权,概述,权限 From: https://www.cnblogs.com/o-O-oO/p/18449616