01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，对内网和后渗透感兴趣的朋友们可以订阅该电子报刊，解锁更多的报刊内容。

02基本介绍

本文内容部分节选自小报童《.NET 调用API创建系统服务实现权限维持》，完整的文章内容请加入小报童后订阅查看。

03编码实现

在Windows操作系统中，Services服务以后台进程的形式运行的，通常具备非常高的权限启动和运行服务。因此红队往往利用.NET框架通过创建和管理Windows服务来实现权限维持。本文将详细介绍如何通过.NET创建Windows服务，以实现权限维持的基本原理和步骤。

3.1 OpenSCManager

在创建Windows服务之前，首先需要打开SCM服务控制管理数据库。服务控制管理器是Windows用来管理所有系统服务的组件。通过调用OpenSCManager函数，可以打开该数据库并获取其句柄，调用函数如下所示。

[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern IntPtr OpenSCManager(string machineName, string databaseName, uint dwAccess);

只有成功打开了服务控制管理器数据库，才能继续创建服务。

3.2 CreateService

在成功获取服务控制管理器数据库的句柄后，可以调用CreateService函数来创建一个新的系统服务。函数在.NET中的调用如下所示。

string serviceName = "MyService";
string serviceDisplayName = "My Custom Service";
string binPath = @"C:\Path\To\YourService.exe";
IntPtr intPtr2 = Program.CreateService(intPtr, serviceName, serviceDisplayName , SERVICE_ACCESS.SERVICE_ALL_ACCESS, 16U, 2U, 1U, binPath, null, IntPtr.Zero, null, null, null);
if (intPtr2 == IntPtr.Zero)
{throw new Exception("Failed to a handle to service");
}

3.3 StartService

服务创建成功后，可以通过调用StartService函数来启动该服务。启动服务后，服务将按照指定的行为在后台运行。

[DllImport("advapi32.dll")]
private static extern int StartService(IntPtr serviceHandle, int dwNumServiceArgs, string lpServiceArgVectors);bool result = StartService(intPtr2, 0, null);
if (!result)
{throw new Exception("Failed to start service.");
}

使用StartService函数启动服务，并检查启动结果是否成功。通过打开服务控制管理器数据库、创建系统服务以及启动服务等这些步骤，可以在Windows系统中使用.NET创建和管理服务，实现目标权限维持。想要了解更多内网权限维持的文章，可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

04.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营，引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足，为用户读者提供更佳的阅读体验。

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过
2） .NET 本地权限提升
3） .NET 内网信息收集
4） .NET 内网代理通道
5） .NET 内网横向移动
6） .NET 目标权限维持
7） .NET 数据传输外发
8） .NET 目标痕迹清理