日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

0x00 前言

在滲透測(cè)試的過程中，如果需要獲取主機(jī)的更多信息，相比于鍵盤記錄，記錄系統(tǒng)屏幕的操作往往更加直接有效。

也許每個(gè)人都有自己獨(dú)特的實(shí)現(xiàn)方式，但是如果能夠利用Windows系統(tǒng)自帶的程序?qū)崿F(xiàn)，個(gè)人認(rèn)為絕對(duì)是最優(yōu)先考慮的方案。

下面就介紹一下如何利用Windows系統(tǒng)自帶的功能實(shí)現(xiàn)監(jiān)控屏幕操作。

0x01 簡(jiǎn)介

PSR(Problem Steps Recorder)，直譯為問題步驟記錄器，在Windows 早期的系統(tǒng)中，采用WER(Windows Error Reporting)來收集系統(tǒng)的錯(cuò)誤報(bào)告，但這些報(bào)告往往包含的信息太少以致于無法解決實(shí)際問題。

為此，微軟從Windows 7系統(tǒng)開始，增加了PSR來解決這個(gè)問題，PSR能夠記錄用戶在遇到崩潰時(shí)執(zhí)行的所有操作，以便測(cè)試人員和開發(fā)人員能夠重現(xiàn)環(huán)境對(duì)其分析和調(diào)試。

當(dāng)PSR運(yùn)行時(shí)，將會(huì)自動(dòng)記錄屏幕的操作，每次操作都會(huì)自動(dòng)保存成一張圖片，最終生成一份zip格式的報(bào)告。

注：

百度百科對(duì)psr的名稱描述有誤，準(zhǔn)確的應(yīng)為Problem Steps Recorder(該問題已提交)

如圖

鏈接為：

http://baike.baidu.com/link?url=BCQtF6gpxNGulRPj-vACw_NGwZvHPcrfvn4vmx6u_JFI_OcuPJIFzY3GYE-mu91DZcB-RLiQ6pGXTki1Fc0Y6K

0x02 使用方法

1、啟動(dòng)psr.exe，點(diǎn)擊開始錄制

可使用快捷鍵win+R直接輸入psr來啟動(dòng)

下圖為psr的操作面板，點(diǎn)擊開始記錄即可記錄當(dāng)前的屏幕操作

點(diǎn)擊后會(huì)提示權(quán)限的問題，如果需要記錄管理員權(quán)限的程序，那么需要以管理員權(quán)限來運(yùn)行psr，如圖

2、進(jìn)行任意操作

當(dāng)運(yùn)行psr開始錄制后，鼠標(biāo)點(diǎn)擊時(shí)會(huì)增加特效

如圖

3、停止記錄，保存報(bào)告

如圖

4、查看報(bào)告

報(bào)告會(huì)對(duì)每次操作截圖，并記錄鼠標(biāo)的操作

比如鼠標(biāo)的單擊操作，從截圖注釋可以看到當(dāng)前的鼠標(biāo)做了哪些操作

而且，在報(bào)告后半部分會(huì)詳細(xì)記錄相關(guān)細(xì)節(jié)，里面的內(nèi)容也很是有趣：

0x03 進(jìn)階方法

psr在記錄屏幕的操作中會(huì)啟動(dòng)UI界面，并且對(duì)鼠標(biāo)點(diǎn)擊操作增加特效，這顯然無法滿足滲透測(cè)試的要求。

但好在psr提供了命令行參數(shù)用作后臺(tái)記錄

命令行參數(shù)如下：

結(jié)合實(shí)際，可使用以下命令：

psr.exe /start /gui 0 /output C:\test\capture.zip

后臺(tái)啟動(dòng)psr并開始錄制，文件保存為C:\test\capture.zip

psr.exe /stop

結(jié)束錄制并退出psr，自動(dòng)保存報(bào)告文件

0x04 實(shí)際測(cè)試

測(cè)試環(huán)境：

Server：

OS：Kali linux

IP：192.168.174.133

Client：

OS:Win7 x86

IP:192.168.174.128

Kali已獲得meterpreter權(quán)限

如圖

測(cè)試功能：

自動(dòng)啟動(dòng)錄制

錄制指定時(shí)間后自動(dòng)退出

自動(dòng)保存報(bào)告文件

可使用Powershell對(duì)上述功能做簡(jiǎn)單實(shí)現(xiàn)：

1、啟動(dòng)自動(dòng)錄制，設(shè)置為無界面模式，并指定輸出路徑：

1psr.exe /start /gui 0 /output C:\test\capture.zip;

2、等待10s，即錄制時(shí)間為10s：

1Start-Sleep -s 10;

3、結(jié)束錄制，自動(dòng)退出：

1psr.exe /stop;

可將以上代碼保存為C:\test\1.txt，然后對(duì)其作base64加密

在Powershell環(huán)境下執(zhí)行如下代碼來對(duì)功能代碼進(jìn)行base64加密：

 
 
 
 
  
  
  
  
1234$string=Get-Content "C:\test\1.txt" 
  
  
  
  
$bytes = [System.Text.Encoding]::Unicode.GetBytes($string) 
  
  
  
  
$encoded = [System.Convert]::ToBase64String($bytes) 
  
  
  
  
$encoded 
 
 
 

如圖，從輸出得到加密的Powershell命令為：

然后就可以在meterpreter的shell下直接執(zhí)行Powershell命令：

代碼執(zhí)行后，等待10s產(chǎn)成報(bào)告文件capture.zip，測(cè)試成功

0x05 防御

可采用以下兩種方法關(guān)閉psr：

1、使用組策略

中文系統(tǒng)：

gpedit.msc-管理模板-Windows組件-應(yīng)用程序兼容性

啟用關(guān)閉問題步驟記錄器

如圖

英文系統(tǒng)：

gpedit.msc-Computer Configuration-Administrative Templates-Windows Components-Application Compatibility

啟用Turn off Problem Steps Recorder

如圖

2、修改注冊(cè)表

 
 
 
 
  
  
  
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat] 
 
 
 

新建"DisableUAR"=dword:00000001

如圖

注：

dword=1對(duì)應(yīng)組策略中的已啟用

dword=0對(duì)應(yīng)組策略中的已禁用

刪除"DisableUAR"對(duì)應(yīng)組策略中的未配置

0x06 小結(jié)

利用PSR監(jiān)控Windows桌面，不僅僅能夠捕獲用戶桌面的操作，而且在報(bào)告中會(huì)包含更多有用的細(xì)節(jié)信息，相信你在滲透測(cè)試的過程中，一定會(huì)用上它。

0x07 參考資料

Using Problem Steps Recorder (PSR) Remotely with Metasploit

https://msdn.microsoft.com/en-us/library/windows/desktop/dd371782(v=vs.85).aspx

https://blogs.msdn.microsoft.com/cjacks/2009/02/25/deciphering-the-command-line-configuration-of-the-windows-7-problem-steps-recorder/

https://technet.microsoft.com/en-us/magazine/dd464813.aspx

http://blogs.msdn.com/b/wer/archive/2009/03/30/problem-steps-recorder-psr-exe-windows-error-reporting-another-tool-to-help-find-solutions-to-software-defects.aspx

http://blogs.technet.com/b/mspfe/archive/2013/03/22/uncovering-a-hidden-gem-psr-exe.aspx

http://www.sevenforums.com/tutorials/139779-problem-steps-recorder-enable-disable.html

文章標(biāo)題：滲透技巧:如何巧妙利用PSR監(jiān)控Windows桌面
分享URL：http://www.dlmjj.cn/article/dppshdd.html