COM Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dado que los valores de HKCU pueden ser modificados por los usuarios, COM Hijacking podría ser utilizado como un mecanismo persistente. Usando procmon
es fácil encontrar registros COM buscados que no existen y que un atacante podría crear para persistir. Filtros:
Operaciones de RegOpenKey.
donde el Resultado es NOMBRE NO ENCONTRADO.
y el Path termina con InprocServer32.
Una vez que hayas decidido qué COM inexistente suplantar, ejecuta los siguientes comandos. Ten cuidado si decides suplantar un COM que se carga cada pocos segundos, ya que eso podría ser excesivo.
Las tareas de Windows utilizan disparadores personalizados para llamar a objetos COM y, dado que se ejecutan a través del Programador de Tareas, es más fácil predecir cuándo se activarán.
Al revisar la salida, puedes seleccionar una que se va a ejecutar cada vez que un usuario inicie sesión, por ejemplo.
Ahora, al buscar el CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} en HKEY_CLASSES_ROOT\CLSID y en HKLM y HKCU, generalmente encontrarás que el valor no existe en HKCU.
Entonces, solo puedes crear la entrada HKCU y cada vez que el usuario inicie sesión, tu puerta trasera se activará.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)