Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an dieHackTricksundHackTricks CloudGitHub-Repositories senden.
Suche nach nicht vorhandenen COM-Komponenten
Da die Werte von HKCU von den Benutzern geändert werden können, kann COM Hijacking als persistenter Mechanismus verwendet werden. Mit procmon ist es einfach, gesuchte COM-Registrierungen zu finden, die nicht existieren und die ein Angreifer erstellen könnte, um persistenz zu erreichen. Filter:
RegOpenKey-Operationen.
bei denen das ErgebnisNAME NOT FOUND ist.
und der Pfad mit InprocServer32 endet.
Sobald Sie sich entschieden haben, welche nicht vorhandene COM-Komponente Sie imitieren möchten, führen Sie die folgenden Befehle aus. Seien Sie vorsichtig, wenn Sie sich entscheiden, eine COM-Komponente zu imitieren, die alle paar Sekunden geladen wird, da dies übertrieben sein könnte.
Windows-Aufgaben verwenden benutzerdefinierte Trigger, um COM-Objekte aufzurufen, und da sie über den Taskplaner ausgeführt werden, ist es einfacher vorherzusagen, wann sie ausgelöst werden.
Durch Überprüfen der Ausgabe können Sie eine auswählen, die beispielsweise jedes Mal ausgeführt wird, wenn sich ein Benutzer anmeldet.
Suchen Sie nun nach der CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} in HKEY_CLASSES_ROOT\CLSID und in HKLM und HKCU. In der Regel stellen Sie fest, dass der Wert in HKCU nicht vorhanden ist.
# Exists in HKCR\CLSID\Get-ChildItem-Path"Registry::HKCR\CLSID\{1936ED8A-BD93-3213-E325-F38D112938EF}"NameProperty------------InprocServer32 (default) : C:\Windows\system32\some.dllThreadingModel:Both# Exists in HKLMGet-Item-Path"HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"|ft-AutoSizeNameProperty------------{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler# Doesn't exist in HKCUPSC:\> Get-Item-Path"HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.
Dann können Sie einfach den HKCU-Eintrag erstellen und jedes Mal, wenn sich der Benutzer anmeldet, wird Ihre Hintertür aktiviert.