COM Hijacking
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Da die Werte von HKCU von den Benutzern geändert werden können, könnte COM Hijacking als persistente Mechanismen verwendet werden. Mit procmon
ist es einfach, nach COM-Registrierungen zu suchen, die nicht existieren und die ein Angreifer erstellen könnte, um persistiert zu werden. Filter:
RegOpenKey-Operationen.
wo das Ergebnis NAME NOT FOUND ist.
und der Pfad mit InprocServer32 endet.
Sobald Sie entschieden haben, welche nicht existierende COM Sie nachahmen möchten, führen Sie die folgenden Befehle aus. Seien Sie vorsichtig, wenn Sie sich entscheiden, eine COM nachzuahmen, die alle paar Sekunden geladen wird, da dies übertrieben sein könnte.
Windows-Aufgaben verwenden benutzerdefinierte Trigger, um COM-Objekte aufzurufen, und da sie über den Task Scheduler ausgeführt werden, ist es einfacher vorherzusagen, wann sie ausgelöst werden.
Wenn Sie die Ausgabe überprüfen, können Sie eine auswählen, die jedes Mal ausgeführt wird, wenn sich ein Benutzer anmeldet.
Jetzt suchen Sie nach der CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} in HKEY_CLASSES_ROOT\CLSID und in HKLM und HKCU, normalerweise werden Sie feststellen, dass der Wert in HKCU nicht existiert.
Dann können Sie einfach den HKCU-Eintrag erstellen, und jedes Mal, wenn der Benutzer sich anmeldet, wird Ihr Backdoor aktiviert.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)