DCOM Exec
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
この技術に関する詳細は、https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/の元の投稿を確認してください。
Distributed Component Object Model (DCOM) オブジェクトは、オブジェクトとのネットワークベースの相互作用に対して興味深い機能を提供します。Microsoftは、DCOMおよびComponent Object Model (COM)に関する包括的なドキュメントを提供しており、こちらでDCOMとこちらでCOMにアクセスできます。DCOMアプリケーションのリストは、PowerShellコマンドを使用して取得できます:
COMオブジェクト、MMC Application Class (MMC20.Application)は、MMCスナップイン操作のスクリプトを可能にします。特に、このオブジェクトにはDocument.ActiveView
の下にExecuteShellCommand
メソッドが含まれています。このメソッドに関する詳細情報はこちらで確認できます。実行を確認してください:
この機能は、DCOMアプリケーションを介してネットワーク上でコマンドを実行することを容易にします。管理者としてDCOMにリモートで対話するために、PowerShellを次のように利用できます:
このコマンドはDCOMアプリケーションに接続し、COMオブジェクトのインスタンスを返します。次に、ExecuteShellCommandメソッドを呼び出してリモートホスト上でプロセスを実行できます。このプロセスは以下のステップを含みます:
Check methods:
RCEを取得する:
この技術に関する詳細は、元の投稿を確認してください https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/
MMC20.Application オブジェクトは、明示的な "LaunchPermissions" が欠如しており、デフォルトで管理者のアクセスを許可する権限に設定されています。詳細については、スレッドを こちら で確認でき、明示的な Launch Permission を持たないオブジェクトをフィルタリングするために @tiraniddo の OleView .NET の使用が推奨されます。
特に、ShellBrowserWindow
と ShellWindows
の2つのオブジェクトは、明示的な Launch Permissions が欠如しているために強調されました。HKCR:\AppID\{guid}
の下に LaunchPermission
レジストリエントリが存在しないことは、明示的な権限がないことを示しています。
ProgID が欠如している ShellWindows
に対して、.NET メソッド Type.GetTypeFromCLSID
と Activator.CreateInstance
を使用して、その AppID を用いてオブジェクトのインスタンス化を行います。このプロセスは OleView .NET を利用して ShellWindows
の CLSID を取得します。インスタンス化された後は、WindowsShell.Item
メソッドを通じて相互作用が可能で、Document.Application.ShellExecute
のようなメソッド呼び出しが行えます。
オブジェクトをインスタンス化し、リモートでコマンドを実行するための PowerShell コマンドの例が提供されました:
ラテラルムーブメントは、DCOM Excelオブジェクトを悪用することで達成できます。詳細情報については、CybereasonのブログでのDCOMを介したラテラルムーブメントのためのExcel DDEの活用に関する議論を読むことをお勧めします。
Empireプロジェクトは、DCOMオブジェクトを操作することによってExcelを使用したリモートコード実行(RCE)を示すPowerShellスクリプトを提供しています。以下は、EmpireのGitHubリポジトリで入手可能なスクリプトからのスニペットで、RCEのためにExcelを悪用するさまざまな方法を示しています:
これらの技術を自動化するために2つのツールが強調されています:
Invoke-DCOM.ps1: リモートマシンでコードを実行するためのさまざまなメソッドの呼び出しを簡素化するEmpireプロジェクトによって提供されるPowerShellスクリプト。このスクリプトはEmpireのGitHubリポジトリで入手可能です。
SharpLateral: リモートでコードを実行するために設計されたツールで、次のコマンドで使用できます:
Powershellスクリプト Invoke-DCOM.ps1 は、他のマシンでコードを実行するためのすべてのコメントされた方法を簡単に呼び出すことができます。
また、SharpLateral を使用することもできます:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)