linuz/Sticky-Keys-Slayer

# Sticky-Keys-Slayer 通过 RDP 扫描辅助功能工具后门 **Twitter: [@DennisMald](https://twitter.com/DennisMald)** **Twitter: [@notmedic](https://twitter.com/notmedic)** ## stickyKeysSlayer.sh 与指定主机建立远程桌面 (RDP) 会话，并发送按键以在 Windows 登录屏幕中启动辅助功能工具。stickyKeysSlayer.sh 会分析控制台，并在命令提示符窗口弹出时发出警报。截图将保存到一个文件夹中（默认为 './rdp-screenshots'），而包含 cmd.exe 窗口的截图会被放入一个子文件夹中（默认为 './rdp-screenshots/discovered'）。stickyKeysSlayer.sh 接受单个主机或以换行符分隔的主机列表，并能并行处理多个主机。 stickyKeysSlayer.sh 整合了 Zach Grace [sticky_keys_hunter](https://github.com/ztgrace/sticky_keys_hunter/) 的代码。 DEFCON24 演示幻灯片：[http://www.slideshare.net/DennisMaldonado5/sticky-keys-to-the-kingdom](http://www.slideshare.net/DennisMaldonado5/sticky-keys-to-the-kingdom) stickyKeysSlayer 的视频演示可以在这里找到：[https://www.youtube.com/watch?v=Jy4hg4a1FYI](https://www.youtube.com/watch?v=Jy4hg4a1FYI) ## 依赖项： * imagemagick * xdotool * parallel * bc 所有软件包都存在于 Kali 仓库中： ``` apt-get update apt-get -y install imagemagick xdotool parallel bc ``` ## Docker： 在某些情况下，在 Docker 中运行此工具可能更有优势。为此，首先构建它： ``` docker build -t sticky-keys-slayer . ``` 然后运行容器，将必要的参数传递给 `stickyKeysSlayer.sh`： ``` docker run --rm -it --name sticky-keys-slayer --net=host sticky-keys-slayer -o /tmp/pics ``` 如果你想保存易受攻击系统的截图： ``` mkdir pics docker run --rm -it --name sticky-keys-slayer --net=host -v `pwd`/pics:/tmp/foo/ sticky-keys-slayer -o /tmp/pics ``` 如果你想传入要运行的主机列表并保存截图 ``` mkdir pics # 在 hosts.txt 中放入一些主机 echo 192.168.0.1 > hosts.txt docker run --rm -it --name sticky-keys-slayer --net=host -v `pwd`/hosts.txt:/tmp/hosts.txt -v `pwd`/pics:/tmp/foo/ sticky-keys-slayer -o /tmp/pics /tmp/hosts.txt ``` ## 待办事项： * 检测遗漏的主机（即我们未能获取截图的主机） * 处理发现多个窗口共享同一标题的情况。如果 `xdotool search` 的结果 `wc -l > 1`，也许应该退出。 * 检测黑色像素是否超过 480,000。这意味着标题栏消失了。可能会报错并继续执行下一步 * 修复扫描指定端口主机时的错误。（例如：192.168.0.2:34123） * 修复空白间距问题（Windows 与 Linux）

标签：Conpot, Docker, RDP安全, Sticky Keys, Windows安全, 协议分析, 安全防御评估, 应用安全, 权限提升, 横向移动, 盲RDP, 粘滞键后门, 编程规范, 网络安全, 请求拦截, 辅助功能后门, 远程服务, 远程桌面协议, 隐私保护