DCOM Exec
Probeer Hard Security Group
MMC20.Application
Vir meer inligting oor hierdie tegniek, kyk na die oorspronklike pos vanaf https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/
Verspreide Komponentobjekmodel (DCOM) objekte bied 'n interessante vermoë vir netwerkgebaseerde interaksies met objekte. Microsoft bied omvattende dokumentasie vir beide DCOM en Komponentobjekmodel (COM), toeganklik hier vir DCOM en hier vir COM. 'n Lys van DCOM-toepassings kan opgehaal word met die PowerShell-opdrag:
Die COM-object, MMC Application Class (MMC20.Application), maak skryf van MMC snap-in operasies moontlik. Merkwaardig genoeg bevat hierdie objek 'n ExecuteShellCommand
metode onder Document.ActiveView
. Meer inligting oor hierdie metode kan hier gevind word. Toets dit deur:
Hierdie kenmerk fasiliteer die uitvoering van bevele oor 'n netwerk deur 'n DCOM-toepassing. Om vanaf 'n afstand met DCOM te kan interageer as 'n admin, kan PowerShell as volg gebruik word:
Hierdie bevel verbind met die DCOM-toepassing en gee 'n instansie van die COM-object terug. Die ExecuteShellCommand-metode kan dan aangeroep word om 'n proses op die afgeleë gasheer uit te voer. Die proses behels die volgende stappe:
Kontroleer metodes:
Kry RCE:
ShellWindows & ShellBrowserWindow
Vir meer inligting oor hierdie tegniek, kyk na die oorspronklike pos https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/
Die MMC20.Application-voorwerp is geïdentifiseer as 'n gebrek aan uitdruklike "LaunchPermissions," wat standaard na toestemmings wat Administrateurs toegang verleen, oorskakel. Vir verdere besonderhede kan 'n draad ondersoek word hier, en die gebruik van @tiraniddo se OleView .NET vir die filter van voorwerpe sonder uitdruklike Launch Permission word aanbeveel.
Twee spesifieke voorwerpe, ShellBrowserWindow
en ShellWindows
, is uitgelig weens hul gebrek aan uitdruklike Launch Permissions. Die afwesigheid van 'n LaunchPermission
-registerinskrywing onder HKCR:\AppID\{guid}
dui op geen uitdruklike toestemmings nie.
ShellWindows
Vir ShellWindows
, wat 'n ProgID ontbreek, fasiliteer die .NET-metodes Type.GetTypeFromCLSID
en Activator.CreateInstance
voorwerpinstansiasie deur sy AppID te gebruik. Hierdie proses maak gebruik van OleView .NET om die CLSID vir ShellWindows
te herwin. Eenmaal geïnstantieer, is interaksie moontlik deur die WindowsShell.Item
-metode, wat tot metode-aanroeping soos Document.Application.ShellExecute
lei.
Voorbeeld PowerShell-opdragte is voorsien om die voorwerp te instansieer en op afstand opdragte uit te voer:
Laterale Beweging met Excel DCOM-voorwerpe
Laterale beweging kan bereik word deur DCOM Excel-voorwerpe te benut. Vir gedetailleerde inligting, is dit aan te beveel om die bespreking oor die benutting van Excel DDE vir laterale beweging via DCOM te lees by Cybereason se blog.
Die Empire-projek bied 'n PowerShell-skripsie wat die gebruik van Excel vir afgeleë kode-uitvoering (RCE) demonstreer deur DCOM-voorwerpe te manipuleer. Hieronder is uittreksels uit die skripsie beskikbaar op Empire se GitHub-opberging, wat verskillende metodes toon om Excel vir RCE te misbruik:
Outomatiese Gereedskap vir Laterale Beweging
Twee gereedskappe word uitgelig vir die outomatiese uitvoering van hierdie tegnieke:
Invoke-DCOM.ps1: 'n PowerShell-skrip wat deur die Empire-projek voorsien word en wat die aanroeping van verskillende metodes vir die uitvoering van kode op afgeleë masjiene vereenvoudig. Hierdie skrip is toeganklik by die Empire GitHub-opberging.
SharpLateral: 'n gereedskap wat ontwerp is vir die afgeleë uitvoering van kode, wat gebruik kan word met die bevel:
Outomatiese Gereedskap
Die Powershell-skrip Invoke-DCOM.ps1 maak dit maklik om alle uitgekommentariseerde maniere om kode op ander rekenaars uit te voer, te aktiveer.
Jy kan ook SharpLateral gebruik:
Verwysings
Probeer Hard Security Group
Last updated