ServiceMove

参考地址：https://github.com/netero1010/ServiceMove-BOF

ServiceMove 是一种有趣的横向移动技术的 POC 代码，它通过滥用 Windows 感知模拟服务来实现 DLL 劫持代码执行。每次启动“Windows 感知模拟服务”时，都会加载一个不存在的 DLL 文件（即 hid.dll）。通过在“C:\Windows\System32\PerceptionSimulation”中插入精心制作的 DLL 并远程启动服务，我们能够在远程系统中以“NT AUTHORITY\SYSTEM”的方式执行代码。

这种技术的美妙之处在于它相对隐蔽/OPSEC，因为它不像其他一般横向移动技术（例如，服务创建/修改、计划任务创建）那样具有典型的 IOC。它所要做的只是将文件拖放到远程系统并远程启动服务。

局限性：仅限 Windows 10 1809 或更高版本

演示

Windows Perception Simulation Service

支持空间感知模拟、虚拟相机管理和空间输入模拟

Windows 感知模拟服务是一种 Win32 服务。在 Windows 10 中，它仅在用户、应用程序或其他服务启动时才会启动。当 Windows Perception Simulation Service 启动时，它作为 LocalSystem 在它自己的 PerceptionSimulationService.exe 进程中运行。如果 Windows 感知模拟服务无法启动，则会将失败详细信息记录到事件日志中。然后Windows 10会启动并通知用户感知模拟服务因错误启动失败。

如果远程过程调用 (RPC)服务被禁用，则在任何情况下都无法启动 Windows 感知模拟服务。

在开始执行此操作之前，请确保 Windows 感知模拟服务所依赖的所有服务均已默认配置并正常运行。

1. 以管理员身份运行命令提示符。

2. 复制下面的命令，将其粘贴到命令窗口并按 ENTER：

sc config perceptionsimulation start= demand

3. 关闭命令窗口并重新启动计算机。

感知模拟服务使用位于C:\Windows\system32\PerceptionSimulation目录中的PerceptionSimulationService.exe文件