Cómo utilizar inteligentemente PSR para monitorear el escritorio de Windows

Durante el proceso de prueba de penetración, si necesita obtener más información sobre el host, grabar la pantalla del sistema suele ser más directo y efectivo que el registro de teclas.

Tal vez cada uno tenga su propia manera única de lograr este objetivo, pero si puede usar un programa que viene con el sistema Windows para lograr este objetivo, personalmente creo que esta es definitivamente la opción de mayor prioridad.

A continuación se explica cómo utilizar las funciones integradas de Windows para operar la pantalla del monitor.

Introducción a 0x01

PSR (Grabador de pasos de problemas), traducido como registrador de pasos de problemas, utilizaba WER (Informe de errores de Windows) en los primeros días de Windows para recopilar informes de errores del sistema. , pero estos informes La información incluida suele ser muy poca para resolver el problema real.

Para ello, Microsoft ha añadido PSR a partir de Windows 7 para solucionar este problema, es decir, registrar todas las acciones realizadas por el usuario ante un fallo para que testers y desarrolladores puedan reproducir el entorno y así resuelve el problema. Realiza análisis y depuración.

Cuando se ejecuta PSR, registra automáticamente las acciones de la pantalla y guarda cada acción como una imagen, generando finalmente un informe en formato zip.

Nota:

El nombre de psr se describe incorrectamente en la Enciclopedia Baidu. El nombre correcto debe ser Grabador de pasos de problemas (este número se ha enviado)

Como. como se muestra en la figura El enlace que se muestra

es:

/link?url=BCQtF6gpxNGulRPj-vACw_ NGwZvHPcrfvn4vmx6u_JFI_OcuPJIFzY3GYE-mu91DZcB-RLiQ6pGXTki1Fc0Y6K

0x02 Cómo utilizar

1. Inicie psr.exe y haga clic en Iniciar grabación

Puede usar la tecla de acceso directo win+R para ingresar directamente psr para comenzar. La siguiente imagen muestra el panel de operación de psr. para registrar las operaciones de pantalla actuales

Después de hacer clic, se le solicitará una pregunta de permiso. Si necesita grabar un programa con permisos de administrador, debe ejecutar psr con permisos de administrador, como se muestra en la figura.

2. Cualquier operación

Cuando se ejecuta psr para comenzar a grabar, se agregarán efectos especiales cuando se hace clic con el mouse.

Cuando se ejecuta psr para comenzar a grabar , se agregarán efectos especiales cuando se haga clic con el mouse

Esta es la primera vez que se usa psr.exe. exe. p>

Como se muestra en la imagen

3. Detenga la grabación y guarde el informe

Como se muestra en la imagen

4. Ver el informe

El informe tomará una captura de pantalla de cada operación y registrará la operación del mouse

Por ejemplo, si hace clic con el mouse, podrá ver la operación actual en la anotación del mouse. en la captura de pantalla

En la segunda mitad del informe, registrará los detalles relevantes, que también se incluirán en el informe.

Afortunadamente, psr proporciona parámetros de línea de comando para la grabación en segundo plano

Los parámetros de la línea de comando son los siguientes:

#!bash

psr .exe [/start |/stop][/output ] [/sc (0|1)] [/maxsc ] [/maxsc ] [/maxsc

[/sketch (0|1)] [/slides (0|1)] [/gui (0|1)]

[/arcetl (0|1)] [/arcxml ( 0|1)] [/arcmht (0|1)]

[/stopevent <.eventname>] [/maxlogsize ] [/recordpid ]

/start comienza a grabar. (

/stop Detener grabación.

/sc Realizar capturas de pantalla de los pasos grabados.

/maxsc Número máximo de capturas de pantalla recientes.

/ maxlogsize Tamaño máximo del archivo de registro.

/gui GUI de control de pantalla.

/arcetl Incluir el archivo ETW sin formato en la salida del archivo.

/arcxml El MHT El archivo se incluye en la salida.

/recordpid Registra todas las operaciones relacionadas con el PID dado

/sketch Dibuja un boceto de la interfaz de usuario si no se guarda ninguna captura de pantalla. crea una página HTML de presentación de diapositivas

/stopevent señala el evento después de generar el archivo de salida

En la práctica, se puede utilizar el siguiente comando:

psr.exe /start /gui 0 /output C:\test\capture.zip

Inicie psr en segundo plano y comience a grabar, guarde el archivo como C:\test\capture.zip

psr.exe /stop

/stopevent Genera el evento que señala el archivo después de generarlo.

exe /stop

Finalizar grabación y salir de psr, guardar automáticamente el archivo de informe

0x04 Prueba real

Entorno de prueba:

Servidor:

Sistema operativo: Kali linux

IP:192.168.174.133

Cliente:

Sistema operativo: Win7 x86

IP:192.168.174.128

Kali ha obtenido el permiso de meterpreter

Como se muestra en la imagen

Función de prueba:

Iniciar automáticamente grabación

Salir automáticamente después de grabar durante el tiempo especificado

Guardar automáticamente el archivo de informe

Powershell se puede utilizar para implementar simplemente la función anterior:

1. p>

psr.exe /start /gui 0 /output C:\test\capture.zip;

2. Espere 10 segundos, es decir, el tiempo de grabación es de 10 segundos:

#!bash

Start-Sleep -s 10;

3.

#!bash

psr.exe /stop;

Puedes guardar el código anterior como C:/test/1.txt y luego cifrarlo con base64

Ejecute el siguiente código, use el código de función de cifrado base64 en Powershell:

#!powershell

#! powershell

$string=Get-Content "C:\test\1.txt"

$bytes = [System.Text.Encoding]::Unicode.GetBytes($string)

$codificado = [System.Text.Encoding]::ToBase64($string)