Skip to content

Latest commit

 

History

History
310 lines (132 loc) · 6.27 KB

[M01N Team]-2021-8-4-COM对象挖掘及攻击利用.md

File metadata and controls

310 lines (132 loc) · 6.27 KB
Raw

COM对象挖掘及攻击利用

原创 天元实验室 M01N Team

M01N Team

微信号 m01nteam

功能介绍 攻击对抗研究分享

__

收录于话题

#蓝军

4个

概述

在实网攻击威胁及红蓝对抗当中,攻击方越来越多的进行白利用以完成反检测等防御规避目的,包括LOLBAS、VULNBins等可信文件形式,但Windows系统当中同样也存在很多有趣的COM对象可被用来进行命令执行、信息收集、添加计划任务等,这些对象本身不是安全漏洞,但可以滥用这些对象对抗基于行为特征和启发式特征的安全检测。在本文当中我们会分享一些COM对象挖掘和攻击利用方面的思路。

01 COM对象、CLSID与ProgID

注册表项HKEY_CLASSES_ROOT
CLSID公开了枚举COM对象所需的所有信息,包括CLSID和ProgID。CLSID是与COM类对象关联的全局唯一标识符。ProgID是表示底层CLSID的程序员友好字符串。

CLSID转ProgID

ProgID转CLSID

获取COM名称

**02 **枚举可用COM对象的方法

方法一

以下Powershell命令获得CLSID的列表。

我们可以使用CLSID列表依次实例化每个对象,然后枚举每个COM对象公开的方法和属性,在没有管理特权的最坏情况下,可以使用标准用户特权来深入了解可用的COM对象。

方法二

枚举COM对象。

枚举COM对象方法并利用。

方法三

利用第三方工具OleViewDotNet可通过ProgID枚举COM对象。

右击查看COM接口的Type Library。

查看该COM接口中包含的接口与方法,其中包括潜在可利用函数Exec方法。

通过“Create Instance”功能创建该COM接口的实例后可进一步执行其中的方法进行测试。

设置方法的参数。

点击invoke后即可测试该方法的功能,此处Exec方法传入的命令被成功执行,创建了新的计算器进程。

**03 **部分可利用的COM接口

ProcessChain Class

ProgID:ProcessC hainLib

CLSID:{E430E93D-09A9- 4DC5-80E3- CBB2FB9AF28E}

滥用:命令执行

代码:

Windows Script Host Shell Object

ProgID:WScript. Shell.1

CLSID:{72C24DD5-D70A- 438B-8A42-98424B88AFB8}

滥用:命令执行、注册表操作、获取环境变量等

代码:

XML HTTP 3.0

ProgID:Msxml2. XMLHTTP. 3.0

CLSID:{F5078F35-C551- 11D3-89B9-0000F81FE221}

滥用:无文件下载执行

代码:

TaskScheduler class

ProgID:Schedule. Service. 1

CLSID:{0F87369F-A4E5-4CFC-BD3E73E6154572DD}

滥用:命令执行

代码:

MMC Application Class

ProgID:MMC20. Application

CLSID:{49B2791A-B1AE- 4C90-9B8E- E860BA07F889}

滥用:命令执行

代码:

ShellWindows

CLSID:{9BA05972-F6A8- 11CF-A442-00A0C90A8F39}

滥用:命令执行

代码:

ShellBrowserWindow

ProgID:ProcessC hainLib

CLSID:{C08AFD90-F2A1- 11D1-8455-00A0C91F3880}

滥用:命令执行

代码:

**04 **总结

本文对于批量枚举COM接口的方法进行了探讨,通过这些方法可对系统中包含的COM对象及其方法进行快速枚举,进而挖掘具有实战利用价值的COM接口。而在提供三种枚举COM对象的方法之外,本文也对部分可利用的COM接口及其调用方式进行了分享,旨在抛砖引玉,启发蓝军研究人员对COM接口滥用的实战价值与挖掘思路的思考。

绿盟科技M01N战队 专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。

M01N Team

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

预览时标签不可点

收录于话题 #

个 __

上一篇 下一篇

阅读

分享 收藏

赞 在看

____已同步到看一看写下你的想法

前往“发现”-“看一看”浏览“朋友在看”

前往看一看

看一看入口已关闭

在“设置”-“通用”-“发现页管理”打开“看一看”入口

我知道了

__

已发送

取消 __

发送到看一看

发送

COM对象挖掘及攻击利用

最多200字,当前共字

__

发送中

写下你的留言

微信扫一扫
关注该公众号

微信扫一扫
使用小程序

取消 允许

取消 允许

知道了

长按识别前往小程序