COM Hijacking
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aangesien die waardes van HKCU deur die gebruikers gewysig kan word, kan COM Hijacking as 'n volhardende meganisme gebruik word. Deur procmon
te gebruik, is dit maklik om gesoekte COM-registers te vind wat nie bestaan nie wat 'n aanvaller kan skep om volharding te hê. Filters:
RegOpenKey operasies.
waar die Resultaat NAAM NIE GEVIND is.
en die Pad eindig met InprocServer32.
Sodra jy besluit het watter nie-bestaande COM om te verteenwoordig, voer die volgende opdragte uit. Wees versigtig as jy besluit om 'n COM te verteenwoordig wat elke paar sekondes gelaai word, aangesien dit oorbodig kan wees.
Windows Take gebruik Aangepaste Triggers om COM-objekte aan te roep en omdat hulle deur die Taakbeplanner uitgevoer word, is dit makliker om te voorspel wanneer hulle geaktiveer gaan word.
Deur die uitvoer te kontroleer, kan jy een kies wat elke keer wanneer 'n gebruiker aanmeld uitgevoer gaan word, byvoorbeeld.
Nou, deur te soek na die CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} in HKEY_CLASSES_ROOT\CLSID en in HKLM en HKCU, sal jy gewoonlik vind dat die waarde nie in HKCU bestaan nie.
Dan kan jy net die HKCU-invoer skep en elke keer wanneer die gebruiker aanmeld, sal jou backdoor geaktiveer word.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)