DCOM Exec
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Za više informacija o ovoj tehnici pogledajte originalni post sa https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/
Distributed Component Object Model (DCOM) objekti predstavljaju zanimljivu mogućnost za interakciju sa objektima putem mreže. Microsoft pruža sveobuhvatnu dokumentaciju za DCOM i Component Object Model (COM), dostupnu ovde za DCOM i ovde za COM. Lista DCOM aplikacija može se dobiti korišćenjem PowerShell komande:
The COM objekat, MMC Application Class (MMC20.Application), omogućava skriptovanje operacija MMC dodataka. Značajno, ovaj objekat sadrži ExecuteShellCommand
metodu pod Document.ActiveView
. Više informacija o ovoj metodi može se naći ovde. Proverite kako radi:
Ova funkcija olakšava izvršavanje komandi preko mreže putem DCOM aplikacije. Da biste se povezali sa DCOM-om na daljinu kao administrator, PowerShell se može koristiti na sledeći način:
Ova komanda se povezuje na DCOM aplikaciju i vraća instancu COM objekta. Zatim se može pozvati metoda ExecuteShellCommand da bi se izvršio proces na udaljenom hostu. Proces uključuje sledeće korake:
Check methods:
Dobijte RCE:
Za više informacija o ovoj tehnici pogledajte originalni post https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/
Objekat MMC20.Application je identifikovan kao onaj koji nema eksplicitne "LaunchPermissions," podrazumevajući dozvole koje omogućavaju pristup Administratorima. Za dalje detalje, može se istražiti tema ovde, a preporučuje se korišćenje @tiraniddo’s OleView .NET za filtriranje objekata bez eksplicitne dozvole za pokretanje.
Dva specifična objekta, ShellBrowserWindow
i ShellWindows
, su istaknuta zbog nedostatka eksplicitnih dozvola za pokretanje. Odsustvo LaunchPermission
registracione stavke pod HKCR:\AppID\{guid}
označava da nema eksplicitnih dozvola.
Za ShellWindows
, koji nema ProgID, .NET metode Type.GetTypeFromCLSID
i Activator.CreateInstance
olakšavaju instanciranje objekta koristeći njegov AppID. Ovaj proces koristi OleView .NET za preuzimanje CLSID-a za ShellWindows
. Kada je instanciran, interakcija je moguća putem metode WindowsShell.Item
, što dovodi do poziva metoda kao što je Document.Application.ShellExecute
.
Primeri PowerShell komandi su dati za instanciranje objekta i izvršavanje komandi na daljinu:
Lateral movement može se postići iskorišćavanjem DCOM Excel objekata. Za detaljne informacije, preporučuje se da pročitate diskusiju o korišćenju Excel DDE za lateralno kretanje putem DCOM na Cybereasonovom blogu.
Empire projekat pruža PowerShell skriptu, koja demonstrira korišćenje Excela za daljinsko izvršavanje koda (RCE) manipulacijom DCOM objekata. Ispod su isječci iz skripte dostupne na Empireovom GitHub repozitorijumu, koji prikazuju različite metode zloupotrebe Excela za RCE:
Dva alata su istaknuta za automatizaciju ovih tehnika:
Invoke-DCOM.ps1: PowerShell skripta koju pruža Empire projekat koja pojednostavljuje pozivanje različitih metoda za izvršavanje koda na udaljenim mašinama. Ova skripta je dostupna na Empire GitHub repozitorijumu.
SharpLateral: Alat dizajniran za izvršavanje koda na daljinu, koji se može koristiti sa komandom:
Powershell skripta Invoke-DCOM.ps1 omogućava lako pozivanje svih komentisanih načina za izvršavanje koda na drugim mašinama.
Takođe možete koristiti SharpLateral:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)