前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >如何使用COM-Hunter检测持久化COM劫持漏洞

如何使用COM-Hunter检测持久化COM劫持漏洞

作者头像
FB客服
发布2023-03-30 19:13:15
8440
发布2023-03-30 19:13:15
举报
文章被收录于专栏:FreeBufFreeBuf

?关于COM-Hunter?

COM-Hunter是一款针对持久化COM劫持漏洞的安全检测工具,该工具基于C#语言开发,可以帮助广大研究人员通过持久化COM劫持技术来检测目标应用程序的安全性。

?关于COM劫持?

微软在Windows 3.11中引入了(Component Object Model, COM),作为一种实现对象的方法,这些对象可以被不同的框架(ActiveX, COM+, DCOM等)使用,并且在不同的Windows环境中允许互操作性,进程间通信和代码重用。COM对象的滥用使安防团队能够代表受信任的进程执行任意代码。执行COM劫持不需要管理员权限,因为HKCU注册表配置单元中的类在HKLM中的类之前执行。唯一影响高完整性进程(提升)的例外情况是,仅从HKLM位置加载对象,以防止特权提升。

?功能介绍?

1、在目标用户的计算机中查找有效的CLSID; 2、通过目标用户计算机中的任务调度器(Task Scheduler)查找有效的CLSID; 3、找出是否有人已经使用了这些有效的CLSID来进行持久化COM劫持(LocalServer*32/InprocServer*32); 4、找出是否有人通过任务调度器(Task Scheduler)使用了任何有效的CLSID来执行持久化COM劫持(LocalServer*32/InprocServer*32); 5、尝试通过任务调度器(Task Scheduler)自动执行持久化COM劫持; 6、尝试使用“TreatAs”键来引用其他组件;

?工具要求?

.NET Framework v4.8

?工具下载?

广大研究人员可以使用下列命令将该项目源码克隆至本地:

代码语言:javascript
复制
git clone https://github.com/nickvourd/COM-Hunter.git

?工具帮助信息?

代码语言:javascript
复制
[+] Usage:


    .\COM-Hunter.exe <mode> <options>


-> General Options:
    -h, --help      显示帮助信息和退出
    -v, --version    显示工具当前版本
    -a, --about     显示跟工具相关的其他信息


-> Modes:
    Search  搜索模式
    Persist  持久化模式


-> Search Mode:
    Get-Entry     搜索有效的CLSID条目
    Get-Tasksch  通过任务调度器搜索有效的CLSID条目
    Find-Persist   搜索是否有人已经使用了一个有效的CLSID(安全防御)
    Find-Tasksch 搜索是否有人通过任务调度器(Task Scheduler)使用了任何有效的CLSID(安全防御)


-> Persist Mode:
    General     使用常用方法在注册表中实现持久化COM劫持
    Tasksch     尝试通过任务调度器实现持久化COM劫持
    TreatAs     在注册表中尝试使用TreatAs注册表键实现持久化COM劫持


-> General Usage:
    .\COM-Hunter.exe  持久化General <clsid> <full_path_of_evil_dll>


-> Tasksch Usage:
    .\COM-Hunter.exe  持久化Tasksch <full_path_of_evil_dll>


-> TreatAs Usage:
.\COM-Hunter.exe  持久化TreatAs <clsid> <full_path_of_evil_dll>

?工具使用样例?

搜索包含有效CLSID的条目(搜索模式)

代码语言:javascript
复制
.\COM-Hunter.exe Search Get-Entry

寻找持久化劫持点(搜索模式)

代码语言:javascript
复制
.\COM-Hunter.exe Search Find-Persist

常用方法(持久化模式)

代码语言:javascript
复制
.\COM-Hunter.exe Persist General 'HKCU:Software\Classes\CLSID\...' C:\Users\nickvourd\Desktop\beacon.dll

计划任务(持久化模式)

代码语言:javascript
复制
.\COM-Hunter.exe Persist Tasksch C:\Users\nickvourd\Desktop\beacon.dll

?有效CLSID格式样例?

代码语言:javascript
复制
Software\Classes\CLSID\...
HKCU:Software\Classes\CLSID\...
HKCU:\Software\Classes\CLSID\...
HKCU\Software\Classes\CLSID\...
HKEY_CURRENT_USER:Software\Classes\CLSID\...
HKEY_CURRENT_USER:\Software\Classes\CLSID\...
HKEY_CURRENT_USER\Software\Classes\CLSID\...

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

https://github.com/nickvourd/COM-Hunter

参考资料

https://courses.zeropointsecurity.co.uk/courses/red-team-ops

https://twitter.com/zeropointsecltd

https://twitter.com/dimtsikopoulos

https://twitter.com/0xvm

精彩推荐

本文参与?腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2022-07-12,如有侵权请联系?cloudcommunity@tencent.com 删除
com
对象
工具
进程
漏洞

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与?腾讯云自媒体分享计划? ,欢迎热爱写作的你一起参与!

com
对象
工具
进程
漏洞
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • ?关于COM-Hunter?
  • ?关于COM劫持?
  • ?功能介绍?
  • ?工具要求?
  • ?工具下载?
  • ?工具帮助信息?
  • ?工具使用样例?
    • 搜索包含有效CLSID的条目(搜索模式)
      • 寻找持久化劫持点(搜索模式)
        • 常用方法(持久化模式)
          • 计划任务(持久化模式)
          • ?有效CLSID格式样例?
          • 许可证协议
          • 项目地址
          • 参考资料
          相关产品与服务
          检测工具
          域名服务检测工具(Detection Tools)提供了全面的智能化域名诊断,包括Whois、DNS生效等特性检测,同时提供SSL证书相关特性检测,保障您的域名和网站健康。
          产品介绍
          领券

          腾讯云开发者

          扫码关注腾讯云开发者

          扫码关注腾讯云开发者

          领取腾讯云代金券

          热门产品

          热门推荐

          更多推荐

          Copyright ? 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有?

          深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059?深公网安备号 44030502008569

          腾讯云计算(北京)有限责任公司 京ICP证150476号 | ?京ICP备11018762号 | 京公网安备号11010802020287

          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

          Copyright ? 2013 - 2024 Tencent Cloud.

          All Rights Reserved. 腾讯云 版权所有

          登录 后参与评论
          http://www.vxiaotou.com