COM Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
HKCU'nun değerleri kullanıcılar tarafından değiştirilebildiğinden COM Hijacking kalıcı mekanizmalar olarak kullanılabilir. procmon
kullanarak, bir saldırganın kalıcılık sağlamak için oluşturabileceği mevcut olmayan COM kayıtlarını bulmak kolaydır. Filtreler:
RegOpenKey işlemleri.
Sonuç NAME NOT FOUND olan yerler.
ve Yol InprocServer32 ile bitiyor.
Hangi mevcut olmayan COM'u taklit etmeye karar verdikten sonra aşağıdaki komutları çalıştırın. Her birkaç saniyede bir yüklenen bir COM'u taklit etmeye karar verirseniz dikkatli olun, çünkü bu aşırıya kaçabilir.
Windows Görevleri, COM nesnelerini çağırmak için Özel Tetikleyiciler kullanır ve Görev Zamanlayıcı aracılığıyla çalıştırıldıkları için, ne zaman tetikleneceklerini tahmin etmek daha kolaydır.
Çıktıyı kontrol ederek, örneğin her kullanıcı giriş yaptığında çalıştırılacak birini seçebilirsiniz.
Şimdi HKEY_CLASSES_ROOT\CLSID ve HKLM ile HKCU'da {1936ED8A-BD93-3213-E325-F38D112938EF} CLSID'sini aradığınızda, genellikle değerin HKCU'da mevcut olmadığını bulursunuz.
Sonra, HKCU girişini oluşturabilirsiniz ve kullanıcı her giriş yaptığında, arka kapınız çalışacaktır.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)