COM Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
HKCU의 값은 사용자가 수정할 수 있으므로 COM Hijacking은 지속적인 메커니즘으로 사용될 수 있습니다. procmon
을 사용하면 공격자가 지속성을 위해 생성할 수 있는 존재하지 않는 COM 레지스트리를 쉽게 찾을 수 있습니다. 필터:
RegOpenKey 작업.
_결과_가 NAME NOT FOUND인 경우.
_경로_가 InprocServer32로 끝나는 경우.
어떤 존재하지 않는 COM을 가장할지 결정한 후 다음 명령을 실행하십시오. 몇 초마다 로드되는 COM을 가장하기로 결정하면 과도할 수 있으니 주의하십시오.
Windows Tasks는 COM 객체를 호출하기 위해 Custom Triggers를 사용하며, Task Scheduler를 통해 실행되기 때문에 언제 트리거될지를 예측하기가 더 쉽습니다.
출력을 확인하면 예를 들어 사용자가 로그인할 때마다 실행될 작업을 선택할 수 있습니다.
이제 HKEY_CLASSES_ROOT\CLSID와 HKLM 및 HKCU에서 CLSID **{1936ED8A-BD93-3213-E325-F38D112938EF}**를 검색하면, 일반적으로 HKCU에 해당 값이 존재하지 않는 것을 발견할 수 있습니다.
그럼, HKCU 항목을 생성하면 사용자가 로그인할 때마다 백도어가 실행됩니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)