WEB和服务器安全漏洞
黑客技术领域,包括内外部网络渗透、反向破解、网络木马病毒分析等。
1,239个主题在此版块
-
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
- 0 篇回复
- 122 次查看
0x00 前言 Mimilib是米米卡茨的子工程,编译成功后生成文件mimilib.dll,包含多个导出函数。 目前介绍这个动态链接库用法的资料比较少,于是我将结合自己的测试结果,逐个介绍mimilib.dll导出函数的用法。 0x01 简介 本文将要介绍以下内容: Mimilib导出函数简介 6种功能的具体用法 0x02 Mimilib导出函数简介 对应文件的地址为: https://github。com/gentili kiwi/mimikatz/blob/master/mimilib/mimilib。极好的 内容如下: 出口 startW=kappfree_startW spl samode initialize=kssp _ spl samode initialize InitializeChangeNotify=k filt _ InitializeChangeNotify passwordchangentify=k filt _ passwordchangentify WinDbgExtensionDllInit=kdbg _ WinDbgExtensionDllInit extensionapi版本=kdbg _ extensionapi版本 咖啡=kdbg _咖啡 mimikatz=kdbg_mimikatz DnsPluginInitialize=kdns _ DnsPluginInitialize …
尖REN的最后回复, -
- 0 篇回复
- 134 次查看
0x00 前言 在之前的文章《域渗透——DCSync》中,系统整理了DCSync的利用方法。本文将详细介绍使用DCSync导出域内所有用户hash的方法,分析不同环境下的利用思路,并给出防御建议。 0x01 简介 本文将介绍以下内容: 使用条件 利用工具 利用理念 辩护建议 0x02 利用条件 从下列任何用户处获取权限: 管理员组中的用户 域管理员组中的用户 企业管理员组中的用户 域控制器的计算机帐户 0x03 利用工具 1.C实现(mimikatz) 实施代码: https://github . com/gentil kiwi/mimikatz/blob/master/mimikatz/modules/LSA dump/kuhl _ m _ LSA dump _ DC . c # L27 命令示例: (1)导出域内所有用户的hash mimikatz.exe ' LSA dump:DC sync/domain:test . com/all/CSV '退出 (2)导出域内administrator帐户的hash mimikatz.exe ' LSA dump:DC sync/domain:test . com/user:administrator/CSV '退出 2.Python实现(secretsdump.py) 命令示例: python secretsdump.py测试/管理员:DomainAdmin…
Xiao7的最后回复, -
- 0 篇回复
- 132 次查看
0x00 前言 在Windows系统下,tscon可以用来切换远程桌面的会话。一般情况下,切换会话需要提供登录密码,但可以通过特殊利用方式绕过认证,实现不输入密码的非授权登录。 这会有什么影响?这种方法在什么条件下可以使用?如何防御组合法?本文将一一介绍。 注: 本文中使用tscon未授权登录的想法借用了以下链接: https://medium . com/@ network security/RDP-jacking-how-to-jacking-rds-and-remote app-sessions-transparently-to-move-through-an-da 2 a 1e 73 a5f 6 0x01 简介 本文将介绍以下内容: tscon的正常使用 一种通过tscon实现远程桌面非授权登录的方法 应用示例 辩护建议 0x02 tscon的正常用法 对于打开了远程桌面服务的Windows系统,当多个用户登录系统时,将会生成多个会话,如下图所示 测试系统:Server2012 R2 管理员在本地登录。 用户b通过远程桌面服务(RDP)连接到端口3389远程登录。 接下来,如果用户管理员想切换到用户B的远程桌面,可以通过右键-连接的方式进行连接,然后输入密码。 如下图 Tscon是命令行下使用的工具,可以实现同样的功能。 首先,获取用户对应的sessionid,并执行以下命令: 查询用户 …
剑道尘心的最后回复, -
0x00 前言 邮件启用提供端到端的解决方案,用于提供安全的电子邮件和协作服务。引用自官方网站的说法:最近的一项独立调查报告称邮件启用是世界上最受欢迎的Windows操作系统操作系统邮件服务器平台。 对于邮件启用的开发者API,我在官方网站上只找到了AJAX API的说明文档,所以本文将要尝试编写计算机编程语言脚本,实现对邮件启用邮件的访问,记录开发细节,开源代码。 0x01 简介 本文将要介绍以下内容: 环境搭建 开发细节 开源代码MailEnableManage.py 0x02 环境搭建 1.安装 安装前需要安装(同移民检查员移民检查)服务和。净3.5,否则无法正常配置网访问 邮件启用下载地址:http://www。启用邮件。com/下载。动态服务器页面 2.配置 启动MailEnableAdmin.msc,在邮件启用管理-邮件管理器-邮局下配置邮件服务器信息 如下图 默认登录页面: http://邮箱。localhost/me webmail/Mondo/lang/sys/log in。aspx 3.开启Web管理页面 参考资料: http://www.mailenable.com/kb/content/article.asp?ID=ME020132 启动MailEnableAdmin.msc,选择邮件启用管理-服务器-本地主机-服务和连接器-WebAdmin,右键单击并从弹出菜单中选择属性,选择安装使成形.按钮,进行安装 …
KaiWn的最后回复, -
- 0 篇回复
- 84 次查看
0x00 前言 米米卡茨中sekurlsa:wdigest是渗透测试中经常会用到的功能,它能够从lsass进程中提取凭据,通常可获得已登录用户的明文口令(Windows Server 2008 R2版版及更高版本的系统默认无法获得,需要修改注册表等待用户再次登录才能获得) XPN在他的博客中记录了对WDigest的研究心得,开源了一个POC,通过C实现了在Win10_1809 x64下从lsass进程中提取凭据 本文将会对XPN的无线一键通进行扩展,使其支持R2/Windows server 2012/Windows server 2012 R2,记录程序实现的细节与过程 XPN的博客: https://blog.xpnsec.com/exploring-mimikatz-part-1/ 概念验证: https://gist.github.com/xpn/12a6907a2fce97296428221b3bd3b394 0x02 简介 本文将要介绍以下内容: 实现思路 程序实现细节 0x03 实现思路 提升至调试权限 获得lsass进程句柄 枚举lsass进程中全部模块的句柄,定位wdigest.dll和lsasrv.dll在内存中的位置 从lsasrv.dll中获得初始化向量,AES和3DES的值,用于解密 从wdigest.dll中获得每条凭据的信息,判断加密算法,解密获得明文口令 具体说明如下: 1. 提升至Debug权限 …
CHQ1d的最后回复, -
- 0 篇回复
- 95 次查看
0x00 前言 2019年8月10日,厄扎坎(@ehakkus)在防御状态应用安全村公开了一个0天,1.930以下版本的Webmin存在远程代码执行漏洞,文章地址如下: 彭斯特街https://号。com。tr/exploits/DEFCON-Webmin-1920-未经验证-远程-命令-执行。超文本标记语言 我对这个漏洞进行了跟踪研究,本文将要记录测试过程,根据漏洞原理使用计算机编程语言编写一个POC,并给出防御建议 0x01 简介 本文将要介绍以下内容: 漏洞简介 搭建测试环境 使用打嗝组曲复现漏洞 使用计算机编程语言编写无线一键通 0x02 漏洞简介 Webmin是基于网的Unix操作系统操作系统系统管理工具,简单理解:使用Webmin能够通过浏览器远程管理Unix操作系统操作系统系统的主机 1.930以下版本的Webmin存在远程代码执行漏洞,当Webmin的密码过期策略设置为提示密码过期的用户输入新密码时(默认设置为总是拒绝密码过期的用户),通过构造特殊格式的邮政包,能够实现远程代码执行 0x03 搭建测试环境和漏洞复现 测试系统:Centos7 x64 IP:192.168.112.181 1.安装perl和依赖库 好吃的安装实际抽取与汇报语言 安装perl-Net-SSLeay 好吃的安装perl-编码-检测 2.下载并安装存在漏洞的Webadmin(1.920) wget https://SourceForge。…
Anonymous的最后回复, -
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 93 次查看
0x00 前言 在域渗透中,活动目录信息的获取是必不可少的。 本文将以获取活动目录中的所有用户、所有计算机和所有组为例,介绍常用的信息获取方法。 0x01 简介 本文将介绍以下内容: 一种获取域外活动目录信息的方法 获取域中活动目录信息的方法 调用ADSI接口获取信息。 0x02 基础知识 该域使用目录数据库来存储用户、计算机帐户和组等对象。 使用LDAP(轻量级目录访问协议)来查询和更新目录数据库。 常见缩写 DN:可分辨名称 CN:常用名 OU:组织单位 DC:域控制器 DN有三个属性,即CN、OU和DC。 简单理解: 默认情况下,域控制器将为LDAP服务打开端口389。 0x03 域外获取活动目录信息的方法 1.Kali系统通过ldapsearch进行数据查询 测试环境如下 前提:我们可以访问域控制器(DC)的389端口,并且我们已经获得了域中至少一个普通用户的密码。 在这个测试环境中,我们获得了域中普通用户testa的密码DomainUser123! 连接命令如下: LDAP search-x-H LDAP://192 . 168 . 1 . 1:389-D ' CN=testa,CN=Users,DC=test,DC=com' -w DomainUser123!-b ' DC=测试,DC=通讯' 参数描述: -x表示简单身份验证 -H服务器地址 -D用于绑定服…
XenoG的最后回复, -
- 0 篇回复
- 106 次查看
0x00 前言 过程隐藏器能够在任务管理器和流程浏览器之类的监视工具中隐藏指定进程,本文将要介绍实现原理,分析代码细节。 0x01 简介 本文将要介绍以下内容: 过程隐藏器测试 过程隐藏器的实现原理 过程隐藏器的代码分析 过程隐藏器的检测 0x01 简介 过程隐藏器能够在任务管理器和流程浏览器之类的监视工具中隐藏指定进程 地址如下: https://github.com/M00nRise/ProcessHider 支持以下参数: pid 进程名 两种启动形式: 可执行程序的扩展名 powershell 过程隐藏器能够自动识别操作系统版本和进程位数,向32位和64位进程分别注入Payload.dll,通过钩子API NtQuerySystemInformation()实现进程隐藏 注入的代码使用动态链接库反射,地址如下: https://github.com/stephenfewer/ReflectiveDLLInjection 钩的代码使用恩索克京,地址如下: https://www。代码项目。com/Articles/21414/functional-x86-x64-迷你挂钩引擎 参数实例: ProcessHider.exe-n ' putty。exe '-x ' proce XP。' exe ' 能够在procexp.exe中隐藏进程名putty.exe,并且默认针对以下进程进行隐藏: …
风尘剑心的最后回复, -
- 0 篇回复
- 87 次查看
0x00 简介 涉及漏洞: CVE-2016-8869 CVE-2016-8870 利用上述漏洞,攻击者可以注册特权用户。 POC: https://github.com/XiphosResearch/exploits/tree/master/Joomraa https://www.exploit-db.com/exploits/40637/?简易资讯聚合 分析文章: http://paper.seebug.org/88/ http://paper.seebug.org/86/ 注: 0x01和0x02摘自分析文章。 http://paper.seebug.org/88/ http://paper.seebug.org/86/ 0x01 CVE-2016-8870 漏洞影响 当网站注册关闭时,仍然可以创建用户。 影响版本 3.4.4至3.6.3 漏洞原理 用户注册有两种方法: userscontrollerregistration:register()位于components/com _ users/controllers/registration . PHP中。 UsersControllerUser:register()位于components/com _ users/controllers/user . PHP中 与userscontrollerregistration:register()相比,UsersCo…
轩辕三官的最后回复, -
- 0 篇回复
- 175 次查看
0x00 前言 之前的文章《域渗透——DNS记录的获取》介绍了在域穿透中获得DNS管理员权限后获取DNS记录的方法,但更常见的情况是只有域内的普通用户才需要获取DNS记录。 本文将参考公开资料,梳理域内普通用户获取DNS记录的方法,修复高版本Windows系统下dns-dump.ps1的bug。 0x01 简介 本文将介绍以下内容: 实现原则 开源工具和方法 0x02 实现原理 1.SharpAdidnsdump的实现原理 通过LDAP查询得到域中计算机的名称,再通过DNS查询得到对应的IP。 详细的实施细节可以在以下位置找到: https://github.com/b4rtik/SharpAdidnsdump 测试环境:test.com (1)通过LDAP查询获得域内计算机的名称 LDAP的查询参数如下: LDAP://test.com/DC=test.com,CN=微软dns,DC=域名区域,DC=测试,DC=com ((!(objectClass=DnsZone))(!(DC=@)(!(DC=*arpa))(!(DC=*DNSZones))) (2)通过DNS查询获得域内计算机对应的IP 使用Dns。GetHostEntry方法,资源: https://docs . Microsoft . com/en-us/dot net/API/system . net . DNS . gethostentry?redirectedfrom…
RenX6的最后回复, -
- 0 篇回复
- 117 次查看
0x00 前言 Gootkit银行木马最早发现于2014年。最近Daniel Bunce(@ 0verfl0w_)介绍了一些关于Gootkit银行木马的分析。文章地址如下: https://www . sentinel one . com/blog/goot kit-banking-trojan-persistence-other-capabilities/ 其中,Gootkit银行木马使用的后门启动方式是独一无二的,本文仅从技术研究的角度再现Gootkit银行木马使用的后门启动方式,分析利用思路,给出防御和检测建议。 0x01 简介 本文将介绍以下内容: 原理介绍 inf文件的基本知识 循环后门启动方法 分析和利用方法 检测和防御建议 0x02 原理介绍 Explorer.exe将在运行时加载特定的组策略对象(GPO),包括Internet Explorer管理工具包(IEAK)的GPO。 如果您通过添加注册表并指向inf文件来为IKAK创建挂起的GPO,那么当explorer.exe启动时,将加载挂起的GPO并执行inf文件的内容。 这种方法的优点是不需要管理员权限。 0x03 inf文件的基础知识 inf设备信息文件的全称是微软为硬件设备制造商发布其驱动程序而推出的一种文件格式。 不区分大小写 文件格式: 它由几个部分组成,部分名称用方括号括起来。 值得注意的部分: 1.Version节 Inf文件包含这一节来…
HACK7YD的最后回复, -
- 0 篇回复
- 118 次查看
0x00 前言 在之前文章《渗透基础——从lsass.exe进程导出凭据》 介绍了本地导出凭据的方法,而在渗透测试中,经常遇到的情况是需要远程导出凭据,本文将要介绍远程导出凭据的思路和方法,记录细节 0x01 简介 本文将要介绍以下内容: 思路 实现方法 lsassy介绍 0x02 思路 在远程导出凭据时,需要考虑以下几点: (1)需要实现远程命令执行,关于远程命令执行,可以参考之前的文章《在远程系统上执行程序的技术整理》 (2)由于保护措施的限制,不同环境需要不同的导出方法 (3)远程导出lsass进程的倾销文件后,通常会选择将倾销文件复制到本地,解析得到口令哈希,而有的时候lsass进程的倾销文件很大,所以需要考虑传输文件的效率 (4)对于多个系统,重复劳动太多,效率不高 综合以上几点,我们需要一个方便快捷的方法:支持多种导出方法,能够直接解析出口令哈希,操作自动化以提高效率 这里可以使用开源工具伊莎西,地址为:https://github.com/Hackndo/lsassy 0x03 lsassy介绍 1.安装使用 安装命令: 点安装lsassy 测试命令: lsassy -u管理员-p密码1 192.168.1.1 在输出上,使用术语颜色添加了颜色显示,在默认Windows cmd下无法正常显示颜色,会导致显示格式不友好,存在一些乱码 为了解决Windows操作系统操作系统下格式乱码的问题,可以修改\ li…
cnhackteam7的最后回复, -
- 0 篇回复
- 158 次查看
0x00 前言 在渗透测试中,如果获得了用户的NTLM哈希,我们可以尝试使用传递哈希的方法登录WMI和SMB服务,这也可以用于远程桌面服务。 本文将介绍当受限管理模式打开时,使用Pass hash登录到远程桌面的方法。 对于传递散列的利用,请参考前一篇文章: 《域渗透——Pass The Hash的实现》 0x01 简介 本文将介绍以下内容: 受限管理模式简介 远程桌面的pass hash实现方法(受限管理模式) 0x02 Restricted Admin mode简介 官方描述: https://blogs . TechNet . Microsoft . com/kfalde/2013/08/14/restricted-admin-mode-for-RDP-in-windows-8-1-2012-R2/ 本部分参考官方说明,补充个人理解。如有错误,请指正。 受限管理模式,字面意思是受限管理模式,主要功能是防止凭据在目标系统中暴露。 适用系统 默认情况下,Windows 8.1和Windows Server 2012 R2支持此功能。 默认情况下,不支持Windows 7和Windows Server 2008 R2。需要安装修补程序2871997和2973351。 注: 相关信息可参考: https://docs . Microsoft . com/en-us/security-updates/security advisories…
Tenfk的最后回复, -
- 0 篇回复
- 116 次查看
About: 使用odbcconf加载dll 使用powershell获取dll导出 使用Windows事件跟踪来记录USB键盘的击键 目录: 本文介绍了为什么通过odbcconf加载dll可以绕过regsvr32在命令行的拦截。 —— ExportsToC,一个比导出ToC更方便的dll导出函数批量输出的工具 通过ETW可以录制USB键盘的键盘,记录测试体验。 0x01 Use odbcconf to load dll Reference: https://twitter.com/subTee/status/789459826367606784 简介 如图,凯西史密斯在推特上分享了一个窍门。如果执行regsvr32以加载dll的代码是在。rsp文件,然后通过odbcconf.exe调用,它可以绕过regsvr32在命令行的拦截。本文将介绍为什么可以在命令行绕过regsvr32的拦截。 odbcconf: 用于配置ODBC驱动程序和数据源。 有关详细说明,请参见以下链接: https://msdn . Microsoft . com/en-us/library/ee 388579(v=vs . 85)。aspx 用法如图所示 值得注意的是odbcconf包含了注册dll的功能。在之前的文章《Code Execution of Regsvr32.exe》中,我具体介绍了如何开发一个可以被regsvr32调用的dll,并编写一个测…
尖REN的最后回复, -
- 0 篇回复
- 135 次查看
0x00 前言 最近APT34的6款工具被泄露,本文作为分析文章的第二篇,仅在技术角度对其中的高壳和超级外壳进行分析 参考资料: https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将要介绍以下内容: 对高壳的分析 对超级外壳的分析 小结 0x02 对HighShell的分析 对应泄露文件的名称为Webshells _和_面板中的高壳 其中的文件为HighShell.aspx,是针对Windows操作系统操作系统服务器的webshell 默认访问页面如下图 注册框为红色,需要输入连接口令 正确的口令为Th!sN0tF0rFAN 输入正确的口令后,点击动手吧,刷新页面,成功登录,如下图 注册框变为绿色 该工具的公开线索: https://号42单元。帕洛阿尔托网络。com/unit 42-双面-web shell-持久-接入点-横向-移动/ 高壳同帕洛阿尔托网络在文中提到的双面的页面相同 0x03 对HyperShell的分析 对应泄露文件的名称为Webshells _和_面板中的超级外壳 下面包含七个文件夹: ExpiredPasswordTech 超级外壳 图像 图书馆 包装 ShellLocal 稳定版本 1.ExpiredPasswordTech 包括3个文件:…
Xiao7的最后回复, -
- 0 篇回复
- 92 次查看
0x00 前言 在之前的文章《Use CLR to maintain persistence》 介绍了通过清除(清除的缩写)劫持。网程序的后门,特点是无需管理员权限,并能够劫持所有。网程序。那么,如果劫持了高权限的。网程序,就能够绕过UAC,比如gpedit.msc 最近我在clem@clavoillotte的博客上也看到了相同的利用思路,并且,他的博客里有更多值得学习的地方。于是,我对他博客介绍的内容进行了整理,结合自己的经验,适当作补充,分享给大家。 clem@clavoillotte的博客地址: https://offsec.provadys.com/UAC-bypass-dotnet.html 0x01 简介 本文将要介绍以下内容: 使用清除(清除的缩写)绕过UAC的方法 劫持系统CLSID绕过UAC的方法 0x02 使用CLR绕过UAC 我在《Use CLR to maintain persistence》 一文中使用了wmic修改环境变量,代码如下: wmic环境创建名称='COR_ENABLE_PROFILING ',用户名='%username% ',变量值='1 ' wmic环境创建名称='COR_PROFILER ',用户名='%username% ',变量值=' { 111111111-1111-1111-1111-1111111111 } ' 在《Use Logon Scripts to maintain persistence》 补充了使…
剑道尘心的最后回复, -
About: netsh的常用命令 马修德马斯克使用netshell执行邪恶的动态链接库并在主机上持续的方式 用InitHelperDll函数编写一个动态链接库 如何使用 侦查 目录: 介绍netsh的常用命令 测试马修德马斯克分享的方法——使用netshell在主机上执行恶意动态链接库并持续存在 如何使用c编写导出函数为InitHelperDll的助手动态链接库 实际测试利用 防御和检测 Reference: http://www。向前适应。com/2016/09/using-netshell-to-execute-evil-dll-and-persist-on-a-host/ 0x00 简介 在渗透测试中,使用系统中默认支持的命令常常可以绕过各种检测和拦截,比如我在《Use bitsadmin to maintain persistence and bypass Autoruns》 中介绍过如何利用系统默认支持的比萨德明来实现自启动,并绕过自动运行的检测。 马修德马斯克在最近分享了一个他发现的方法,同样是利用系统中默认支持的命令——使用netshell在主机上执行恶意动态链接库并持续存在,本文将对其方法进行整理,并补全文中未具体介绍的动态链接库编写方法 0x01 netsh简介 是窗子系统本身提供的功能强大的网络配置命令行工具,常用命令如下: 查看互联网协议(互联网协议的缩写)配置信息: netsh接口互联网协议(I…
KaiWn的最后回复, -
- 0 篇回复
- 139 次查看
0x00 前言 Java可以通过JNI接口访问本地动态连接库,从而扩展了Java的功能。以Tomcat环境为例,介绍了通过jsp加载dll的方法,开源代码,记录细节。 0x01 简介 本文将介绍以下内容: 基础知识 通过Java JNI加载动态链接库的方法 通过jsp JNI加载动态链接库的方法 0x02 基础知识 JNI,全称Java Native Interface,是Java语言的本地编程接口。可用于调用dll文件 给JNI打电话的接口: 写Java代码,指明要访问的本地动态连接库和本地方法。 编译Java代码来获得。类别文件 使用javah生成相应的。这个类的h文件。 用c实现该功能并编译dll。 通过Java调用dll 0x03 Java通过JNI加载dll的方法 在本节中,我们将通过Java加载dll并在命令行上输出“Hello World”。 1.编写Java代码,注明要访问的本地动态连接库和本地方法 HelloWorld.java: 公共类HelloWorld { 私有原生void print(); 静电 { system . loadlibrary(' Hello '); } 公共静态void main(String[] args) { 新HelloWorld()。print(); } } 注: 还可以使用System.load指定加载dll的绝对路径…
CHQ1d的最后回复, -
- 0 篇回复
- 92 次查看
0x00 前言 文章《渗透技巧——利用netsh抓取连接文件服务器的NTLMv2 Hash》介绍了通过Windows命令行在服务器上捕获数据包,获取连接到文件服务器的NTLMv2 Hash的方法,解决了一个有趣的问题: 如果获得了内网某个文件服务器的权限,如何获取更多用户的密码? 本文将改变实现方式,通过修改文件服务器上的图标文件,强制用户访问伪造的文件服务器,抓取伪造文件服务器上的数据包,获得连接到文件服务器的NTLMv2 Hash。 0x01 简介 本文将介绍以下内容: 添加scf文件会迫使用户访问假冒的文件服务器。 修改文件夹图标以强制用户访问伪造的文件服务器。 图标后门 防御思维 0x02 实现思路 利用SMB协议的特性,当客户端连接到服务器时,默认情况下首先尝试使用本机的用户名和密码哈希登录。 当一个用户访问一个文件服务器时,如果我们可以诱骗用户访问一个假的文件服务器,并在假的文件服务器上抓取数据包,那么我们就可以获得用户自己机器的NTLMv2哈希。 所以关键是如何欺骗用户访问伪造的文件服务器,同时保证隐蔽性。 欺骗用户访问假文件服务器的方法有很多种(钓鱼略),那么有没有在用户打开文件共享时自动访问假文件服务器的方法呢?当然有。接下来主要介绍两种实现方式。 0x03 添加scf文件强制用户访问伪造的文件服务器 这个方法已经在其他文章中介绍过了。参考: https://pentestlab.blog/2017/12/13/smb-s…
Anonymous的最后回复, -
- 0 篇回复
- 90 次查看
0x00 前言 APT通过COM劫持组织Trula在Outlook启动时使用后门方法加载dll,其特点是只需要当前用户的权限。 本文将参考已发表的资料对这种方法进行测试,编写一个自动利用脚本,扩展使用,分享多个可用的劫持地点,并基于利用思路给出防御建议。 参考资料: https://www . welivesecurity . com/WP-content/uploads/2018/08/Eset-Turla-Outlook-back door . pdf 0x01 简介 本文将介绍以下内容: 使用方法 Powershell脚本实现详细信息 扩展使用 辩护建议 0x02 利用方法 当Outlook启动时,它将加载多个COM对象。我们可以通过修改注册表加载DLL来劫持Outlook的启动进程。 这里的utilization方法需要添加两个注册表,修改两个COM对象。 因为是修改HKCU的注册表,所以可以使用当前用户权限。 (1)COM对象1,用来加载第二个COM对象 添加以下注册表: HKCU \软件\类\ CLSID \ { 84 da 0a 92-25 E0-11 D3-b9f 7-00 c 04 f 4c 8 f 5d } \ TreatAs={ 49 cbb 1c 7-97 D1-485 a-9e C1-a 26065633066 } 通过命令行实现的命令如下: REG add HKCU \软件\类\ CLSID \ { 84 …
XenoG的最后回复,