DCOM Exec
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para más información sobre esta técnica, consulta la publicación original en https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/
Los objetos del Modelo de Componente Distribuido (DCOM) presentan una capacidad interesante para interacciones basadas en red con objetos. Microsoft proporciona documentación completa tanto para DCOM como para el Modelo de Componente (COM), accesible aquí para DCOM y aquí para COM. Una lista de aplicaciones DCOM se puede recuperar utilizando el comando de PowerShell:
El objeto COM, Clase de Aplicación MMC (MMC20.Application), permite la automatización de operaciones de complementos MMC. Notablemente, este objeto contiene un método ExecuteShellCommand
bajo Document.ActiveView
. Más información sobre este método se puede encontrar aquí. Verifíquelo en ejecución:
Esta función facilita la ejecución de comandos a través de una red mediante una aplicación DCOM. Para interactuar con DCOM de forma remota como administrador, se puede utilizar PowerShell de la siguiente manera:
Este comando se conecta a la aplicación DCOM y devuelve una instancia del objeto COM. Luego se puede invocar el método ExecuteShellCommand para ejecutar un proceso en el host remoto. El proceso implica los siguientes pasos:
Check methods:
Obtener RCE:
Para más información sobre esta técnica, consulta la publicación original https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/
El objeto MMC20.Application fue identificado como carente de "LaunchPermissions" explícitos, por defecto a permisos que permiten el acceso a Administradores. Para más detalles, se puede explorar un hilo aquí, y se recomienda el uso de @tiraniddo’s OleView .NET para filtrar objetos sin Permiso de Lanzamiento explícito.
Se destacaron dos objetos específicos, ShellBrowserWindow
y ShellWindows
, debido a su falta de Permisos de Lanzamiento explícitos. La ausencia de una entrada de registro LaunchPermission
bajo HKCR:\AppID\{guid}
significa que no hay permisos explícitos.
Para ShellWindows
, que carece de un ProgID, los métodos .NET Type.GetTypeFromCLSID
y Activator.CreateInstance
facilitan la instanciación del objeto utilizando su AppID. Este proceso aprovecha OleView .NET para recuperar el CLSID de ShellWindows
. Una vez instanciado, la interacción es posible a través del método WindowsShell.Item
, lo que lleva a la invocación de métodos como Document.Application.ShellExecute
.
Se proporcionaron ejemplos de comandos de PowerShell para instanciar el objeto y ejecutar comandos de forma remota:
El movimiento lateral se puede lograr explotando objetos DCOM de Excel. Para obtener información detallada, se recomienda leer la discusión sobre el aprovechamiento de Excel DDE para el movimiento lateral a través de DCOM en el blog de Cybereason.
El proyecto Empire proporciona un script de PowerShell, que demuestra la utilización de Excel para la ejecución remota de código (RCE) manipulando objetos DCOM. A continuación se presentan fragmentos del script disponible en el repositorio de GitHub de Empire, que muestran diferentes métodos para abusar de Excel para RCE:
Se destacan dos herramientas para automatizar estas técnicas:
Invoke-DCOM.ps1: Un script de PowerShell proporcionado por el proyecto Empire que simplifica la invocación de diferentes métodos para ejecutar código en máquinas remotas. Este script es accesible en el repositorio de GitHub de Empire.
SharpLateral: Una herramienta diseñada para ejecutar código de forma remota, que se puede utilizar con el comando:
El script de Powershell Invoke-DCOM.ps1 permite invocar fácilmente todas las formas comentadas de ejecutar código en otras máquinas.
También podrías usar SharpLateral:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)