如何使用COM-Hunter检测持久化COM劫持漏洞

最新推荐文章于 2024-05-31 07:32:00 发布
最新推荐文章于 2024-05-31 07:32:00 发布
阅读量1.2k 收藏
点赞数
文章标签: java microsoft 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/129291396
版权
COM-Hunter是一款C#开发的工具,用于检测COM劫持漏洞。它能查找有效的CLSID,检查任务调度器中的潜在风险,并尝试模拟持久化COM劫持。该工具需要.NETFrameworkv4.8,提供搜索和持久化两种模式,帮助研究人员评估目标应用的安全性。
摘要由CSDN通过智能技术生成

关于COM-Hunter

COM-
Hunter是一款针对持久化COM劫持漏洞的安全检测工具,该工具基于C#语言开发,可以帮助广大研究人员通过持久化COM劫持技术来检测目标应用程序的安全性。

关于COM劫持

微软在Windows 3.11中引入了(Component Object Model,
COM),作为一种实现对象的方法,这些对象可以被不同的框架(ActiveX, COM+,
DCOM等)使用,并且在不同的Windows环境中允许互操作性,进程间通信和代码重用。COM对象的滥用使安防团队能够代表受信任的进程执行任意代码。执行COM劫持不需要管理员权限,因为HKCU注册表配置单元中的类在HKLM中的类之前执行。唯一影响高完整性进程(提升)的例外情况是,仅从HKLM位置加载对象,以防止特权提升。

功能介绍

1、在目标用户的计算机中查找有效的CLSID;

2、通过目标用户计算机中的任务调度器(Task Scheduler)查找有效的CLSID;

3、找出是否有人已经使用了这些有效的CLSID来进行持久化COM劫持(LocalServer32/InprocServer32);

4、找出是否有人通过任务调度器(Task
Scheduler)使用了任何有效的CLSID来执行持久化COM劫持(LocalServer32/InprocServer32);

5、尝试通过任务调度器(Task Scheduler)自动执行持久化COM劫持;

6、尝试使用“TreatAs”键来引用其他组件;

工具要求

.NET Framework v4.8

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/nickvourd/COM-Hunter.git

工具帮助信息

[+] Usage:

 

    .\COM-Hunter.exe <mode> <options>

 

-> General Options:

    -h, --help      显示帮助信息和退出

    -v, --version    显示工具当前版本

    -a, --about     显示跟工具相关的其他信息

 

-> Modes:

    Search  搜索模式

    Persist  持久化模式

 

-> Search Mode:

    Get-Entry     搜索有效的CLSID条目

    Get-Tasksch  通过任务调度器搜索有效的CLSID条目

    Find-Persist   搜索是否有人已经使用了一个有效的CLSID(安全防御)

    Find-Tasksch 搜索是否有人通过任务调度器(Task Scheduler)使用了任何有效的CLSID(安全防御)

 

-> Persist Mode:

    General     使用常用方法在注册表中实现持久化COM劫持

    Tasksch     尝试通过任务调度器实现持久化COM劫持

    TreatAs     在注册表中尝试使用TreatAs注册表键实现持久化COM劫持

 

-> General Usage:

    .\COM-Hunter.exe  持久化General <clsid> <full_path_of_evil_dll>

 

-> Tasksch Usage:

    .\COM-Hunter.exe  持久化Tasksch <full_path_of_evil_dll>

 

-> TreatAs Usage:

.\COM-Hunter.exe  持久化TreatAs <clsid> <full_path_of_evil_dll>

工具使用样例

搜索包含有效CLSID的条目(搜索模式)

.\COM-Hunter.exe Search Get-Entry

寻找持久化劫持点(搜索模式)

.\COM-Hunter.exe Search Find-Persist

常用方法(持久化模式)

.\COM-Hunter.exe Persist General 'HKCU:Software\Classes\CLSID\...' C:\Users\nickvourd\Desktop\beacon.dll

计划任务(持久化模式)

.\COM-Hunter.exe Persist Tasksch C:\Users\nickvourd\Desktop\beacon.dll

有效CLSID格式样例

Software\Classes\CLSID\...

HKCU:Software\Classes\CLSID\...

HKCU:\Software\Classes\CLSID\...

HKCU\Software\Classes\CLSID\...

HKEY_CURRENT_USER:Software\Classes\CLSID\...

HKEY_CURRENT_USER:\Software\Classes\CLSID\...

HKEY_CURRENT_USER\Software\Classes\CLSID\...

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

AIGC阿道夫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[提权]Windows COM组件提权漏洞 (CVE-2017-0213)
baguangman5501的博客
09-02 795
0x01 简介 COM组件是微软开发的一种新软件开发技术,在这个COM框架的下,可以开发出多功能的组件,可以根据自己的需求进行定制开发,替换旧的组件,多个功能组件组合到一起,从而形成了一个复杂的定制化多功能系统。 0x02 影响版本 Windows10,包括1511、1607、1703这三个版本 Windows 7 SP1 Windows 8.1、RT8.1 Windows Server...
com组件 的劫持_一种劫持COM服务器并绕过微软反恶意软件扫描接口(AMSI)的方法...
weixin_39660922的博客
12-29 254
Microsoft的反恶意软件扫描接口(AMSI)在Windows 10中被引入,作为标准接口,它可以让AV引擎将签名应用于内存和磁盘上的缓冲区。这使得AV产品能够在脚本解释之前“hook”,这意味着任何经过混淆或加密的PS程序都经过了解密程序的解密。你可以在这里和这里阅读有关AMSI的更多信息。这篇文章将介绍一种通过劫持COM服务器来绕过AMSI的方式,并分析Microsoft是如何在build...
KOS系统Rootkit恶意软件安全检测工具Rootkit Hunter安装部署
最新发布
Innocence_0的博客
05-31 1149
RootkitHunter(简称RKHunter)是一种用于检测和识别系统中可能存在的rootkit、后门和潜在恶意软件的工具。它通过扫描文件系统、用户账户和系统配置文件来寻找异常和潜在的威胁。RKHunter使用各种技术来进行检测,包括MD5哈希比对、系统命令和工具的核对、特定文件和目录的访问控制检查等。它还可以检测潜在的系统漏洞和安全问题。RKHunter是一个开源工具,可以在Linux和Unix操作系统上使用,并且可以根据需要进行配置和自定义。
com组件 的劫持_打开文件夹就运行?COM劫持利用新姿势
weixin_42518981的博客
12-29 407
*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。前言所谓“骂人先骂...
com组件 的劫持_无招胜有招: 看我如何通过劫持COM服务器绕过AMSI
weixin_35719180的博客
12-29 439
在Windows 10中,Microsoft的反恶意软件扫描接口(AMSI)被作为新功能被引入,作为标准接口,该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够在恶意程序的脚本被解释执行之前执行劫持操作,这在一定程度上意味着任何的代码混淆或加密都有相对应的例程去还原和解密程序。如果需要更多详细的有关AMSI的信息,您可以在这里阅读有关AMSI的更多信息。在这...
web漏洞利用(结合com组件漏洞
qq_38989921的博客
03-22 157
利用文件上传漏洞上传shell 冰蝎连接 连接后直接冰蝎文件管理处,上传com组件漏洞利用脚本,执行脚本,提升权限,创建管理员账户 秀色湖光照大地,照亮我也照亮你,宛如清风抚白云,愿得伊人心~ ...
APT-Hunter:APT-Hunter是用于Windows事件日志的威胁搜寻工具,紫色团队的心态使该工具能够检测隐藏在Windows事件日志海中的APT移动,以减少发现可疑活动的时间
03-08
APT-Hunter是用于Windows事件日志的威胁搜寻工具,紫色团队的心态使该工具能够检测隐藏在Windows事件日志海中的APT移动,以减少发现可疑活动的时间。 该工具将充分利用收集到的Windows事件日志,并确保不要错过配置...
kube-hunter:寻找Kubernetes集群中的安全漏洞
02-04
运行kube-hunter :kube-hunter可作为容器使用(aquasec / kube-hunter),我们还在上提供了一个网站,您可以在该网站上进行在线注册以获取令牌,从而可以查看和查看在线共享结果。 您还可以按照以下说明自己运行...
linux-hunter:MH型
05-09
目录学分变更日志 支持的版本15.11.00-完全支持15.10.00-完全支持(CAPCOM不赞成使用) 15.02.00-完全支持(CAPCOM不赞成使用) 15.01.00-完全支持(CAPCOM不赞成使用) 14.02.00-完全支持14.01.00-完全支持14.00.00...
Rat-Hunter:通过简单的方法检测木马:shield:
04-29
老鼠猎人v1.0 Rat hunter是用来检测木马的项目, 该项目现在支持10种不同的木马并且我正在努力添加更多信息,并且我将添加选项来扫描混淆的特洛伊木马程序, 如果您要我添加新的特洛伊木马,请发送至 我创建此项目的...
hunter是一款被动式漏洞扫描器
05-15
4. **智能分析**:Hunter使用先进的算法和规则库来识别漏洞,同时具备学习能力,能根据环境变化和历史数据不断优化检测策略。 5. **可视化报告**:提供直观的报表和仪表盘,让团队成员可以快速理解系统安全状况,并...
dingo-hunter:用于在Go中查找死锁的静态分析器
05-10
$ go get -u github.com/nickng/dingo-hunter用法基于两项研究工作,有两种方法(CFSM和MiGo类型)。CFSMs方法这种方法生成CFSM作为程序中生成的goroutine的模型,然后将CFSM传递到综合工具以构造全局编排并检查...
source-code-hunter:开放从总体上看Spring全家桶,Mybatis,Netty,Dubbo框架,以及Redis,Tomcat中间件等
03-23
互联网公司通用框架源码赏析 “技术深度”与“技术广度”是...有帮助,请观看,星级,分叉质量三连一波,鼓励一下作者,谢谢) Netlify: ://schunter.netlify.app Gitee页面: ://doocs.gitee.io/source-code-hunter
udp-hunter:用于涵盖IPv4和IPv6协议的各种UDP服务的网络评估工具
04-14
什么是UDP Hunter? UDP扫描一直是一个缓慢而痛苦的工作,如果在UDP之上添加IPv6,则工具的选择将非常有限。 UDP Hunter是基于python的开源网络评估工具,专注于UDP服务扫描。 通过UDP Hunter,我们专注于为IPv6和...
-Za-Hunter
03-11
在-Za-Hunter项目中,使用Optionals的地方可能包括处理用户输入、网络请求结果等可能出现的不确定性。 Swift还引入了强大的泛型,允许编写可重用的代码,适用于多种数据类型。在-Za-Hunter项目中,泛型可能被应用于...
Unity3D插件 Asset-Hunter-PRO-2.2.7
02-19
2. **未使用资产检测**:Asset Hunter PRO 可以找出项目中未被引用或未在任何场景中使用的资源,这些资源可能是由于误删引用或者测试遗留下来的,清理它们可以显著减少构建时的资源负担。 3. **依赖关系查看**:...
COM劫持 BypassUAC
weixin_45682070的博客
11-21 869
什么是comcomComponent Object Model(组件对象模型)的缩写 come是微软公司未来计算机工业的软件生产更符合人类的行为方式开发的一种新的软件开发技术。在com架构下,人们可以开发各种各样的功能专一的组件, 然后将他们安装需要组合起来,构成复杂的应用系统 这里不得不说一下CLSID CLSID(Class Identifier)全局唯一标识符,CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系组件分配的一个唯一表示他的ID代码, 用来
COM对象劫持
weixin_55030700的博客
03-13 1785
以下是一个示例规则,例如使用修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
指导我如何使用APT-hunter分析windows日志
03-27
APT-Hunter是一款用于检测APT攻击的工具,它可以分析Windows系统日志中的异常行为并自动识别可能的APT攻击。下面是使用APT-Hunter分析Windows日志的步骤: 1. 安装APT-Hunter 在Github上下载APT-Hunter的源代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值