freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用COM-Hunter检测持久化COM劫持漏洞
  • 关注
如何使用COM-Hunter检测持久化COM劫持漏洞
2022-06-27 17:19:36
所属地 广西

关于COM-Hunter

COM-Hunter是一款针对持久化COM劫持漏洞的安全检测工具,该工具基于C#语言开发,可以帮助广大研究人员通过持久化COM劫持技术来检测目标应用程序的安全性。

关于COM劫持

微软在Windows 3.11中引入了(Component Object Model, COM),作为一种实现对象的方法,这些对象可以被不同的框架(ActiveX, COM+, DCOM等)使用,并且在不同的Windows环境中允许互操作性,进程间通信和代码重用。COM对象的滥用使安防团队能够代表受信任的进程执行任意代码。执行COM劫持不需要管理员权限,因为HKCU注册表配置单元中的类在HKLM中的类之前执行。唯一影响高完整性进程(提升)的例外情况是,仅从HKLM位置加载对象,以防止特权提升。

功能介绍

1、在目标用户的计算机中查找有效的CLSID;

2、通过目标用户计算机中的任务调度器(Task Scheduler)查找有效的CLSID;

3、找出是否有人已经使用了这些有效的CLSID来进行持久化COM劫持(LocalServer*32/InprocServer*32);

4、找出是否有人通过任务调度器(Task Scheduler)使用了任何有效的CLSID来执行持久化COM劫持(LocalServer*32/InprocServer*32);

5、尝试通过任务调度器(Task Scheduler)自动执行持久化COM劫持;

6、尝试使用“TreatAs”键来引用其他组件;

工具要求

.NET Framework v4.8

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/nickvourd/COM-Hunter.git

工具帮助信息

[+] Usage:

 

    .\COM-Hunter.exe <mode> <options>

 

-> General Options:

    -h, --help      显示帮助信息和退出

    -v, --version    显示工具当前版本

    -a, --about     显示跟工具相关的其他信息

 

-> Modes:

    Search  搜索模式

    Persist  持久化模式

 

-> Search Mode:

    Get-Entry     搜索有效的CLSID条目

    Get-Tasksch  通过任务调度器搜索有效的CLSID条目

    Find-Persist   搜索是否有人已经使用了一个有效的CLSID(安全防御)

    Find-Tasksch 搜索是否有人通过任务调度器(Task Scheduler)使用了任何有效的CLSID(安全防御)

 

-> Persist Mode:

    General     使用常用方法在注册表中实现持久化COM劫持

    Tasksch     尝试通过任务调度器实现持久化COM劫持

    TreatAs     在注册表中尝试使用TreatAs注册表键实现持久化COM劫持

 

-> General Usage:

    .\COM-Hunter.exe  持久化General <clsid> <full_path_of_evil_dll>

 

-> Tasksch Usage:

    .\COM-Hunter.exe  持久化Tasksch <full_path_of_evil_dll>

 

-> TreatAs Usage:

.\COM-Hunter.exe  持久化TreatAs <clsid> <full_path_of_evil_dll>

工具使用样例

搜索包含有效CLSID的条目(搜索模式)

.\COM-Hunter.exe Search Get-Entry

寻找持久化劫持点(搜索模式)

.\COM-Hunter.exe Search Find-Persist

常用方法(持久化模式)

.\COM-Hunter.exe Persist General 'HKCU:Software\Classes\CLSID\...' C:\Users\nickvourd\Desktop\beacon.dll

计划任务(持久化模式)

.\COM-Hunter.exe Persist Tasksch C:\Users\nickvourd\Desktop\beacon.dll

有效CLSID格式样例

Software\Classes\CLSID\...

HKCU:Software\Classes\CLSID\...

HKCU:\Software\Classes\CLSID\...

HKCU\Software\Classes\CLSID\...

HKEY_CURRENT_USER:Software\Classes\CLSID\...

HKEY_CURRENT_USER:\Software\Classes\CLSID\...

HKEY_CURRENT_USER\Software\Classes\CLSID\...

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

COM-Hunter:【GitHub传送门

参考资料

https://courses.zeropointsecurity.co.uk/courses/red-team-ops

https://twitter.com/zeropointsecltd

https://twitter.com/dimtsikopoulos

https://twitter.com/0xvm

# 系统安全 # 漏洞检测 # COM劫持技术 # COM
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于COM-Hunter
    关于COM劫持
      功能介绍
        工具要求
          工具下载
            工具帮助信息
              工具使用样例
              • 搜索包含有效CLSID的条目(搜索模式)
              • 寻找持久化劫持点(搜索模式)
              • 常用方法(持久化模式)
              • 计划任务(持久化模式)
              有效CLSID格式样例
                许可证协议
                  项目地址
                    参考资料