COM Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
HKCUの値はユーザーによって変更できるため、COM Hijackingは永続的なメカニズムとして使用される可能性があります。procmon
を使用すると、攻撃者が永続化のために作成できる存在しないCOMレジストリを簡単に見つけることができます。フィルター:
RegOpenKey操作。
_Result_がNAME NOT FOUNDであること。
_Path_がInprocServer32で終わること。
どの存在しないCOMを偽装するか決定したら、次のコマンドを実行します。数秒ごとに読み込まれるCOMを偽装することに決めた場合は、過剰になる可能性があるため注意してください。
Windows Tasksはカスタムトリガーを使用してCOMオブジェクトを呼び出し、タスクスケジューラを通じて実行されるため、いつトリガーされるかを予測しやすくなっています。
出力を確認すると、例えばユーザーがログインするたびに実行されるものを選択できます。
次に、HKEY_CLASSES_ROOT\CLSIDおよびHKLM、HKCUでCLSID **{1936ED8A-BD93-3213-E325-F38D112938EF}**を検索すると、通常、HKCUにはその値が存在しないことがわかります。
その後、HKCUエントリを作成するだけで、ユーザーがログインするたびにバックドアが起動します。
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)