COM Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ponieważ wartości HKCU mogą być modyfikowane przez użytkowników, COM Hijacking może być używane jako mechanizm persistentny. Używając procmon
, łatwo jest znaleźć wyszukiwane rejestry COM, które nie istnieją, które atakujący mógłby stworzyć, aby uzyskać persistencję. Filtry:
Operacje RegOpenKey.
gdzie Wynik to NAME NOT FOUND.
i Ścieżka kończy się na InprocServer32.
Gdy zdecydujesz, który nieistniejący COM chcesz naśladować, wykonaj następujące polecenia. Bądź ostrożny, jeśli zdecydujesz się naśladować COM, który jest ładowany co kilka sekund, ponieważ to może być przesadą.
Zadania systemu Windows używają niestandardowych wyzwalaczy do wywoływania obiektów COM, a ponieważ są one wykonywane przez Harmonogram zadań, łatwiej jest przewidzieć, kiedy będą uruchamiane.
Sprawdzając wynik, możesz wybrać jeden, który będzie wykonywany za każdym razem, gdy użytkownik się loguje, na przykład.
Teraz szukając CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} w HKEY_CLASSES_ROOT\CLSID oraz w HKLM i HKCU, zazwyczaj stwierdzisz, że wartość nie istnieje w HKCU.
Następnie możesz po prostu utworzyć wpis HKCU, a za każdym razem, gdy użytkownik się loguje, twoje tylne drzwi zostaną uruchomione.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)