msdtc.exe dll劫持

最新推荐文章于 2023-01-23 22:14:20 发布
最新推荐文章于 2023-01-23 22:14:20 发布
阅读量1.2k 收藏
点赞数
分类专栏: 内网渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/127136541
版权

msdtc.exe dll劫持

msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web ServerMicrosoft SQL Server。该服务用于管理多个服务器。
msdtc.exe是一个并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器,删除要小心。

对应服务MSDTC,全称Distributed Transaction Coordinator,Windows系统默认启动该服务

在这里插入图片描述

文件位于
C:\Windows\System32\msdtc.exe

当Windows操作系统启动Microsoft分布式事务处理协调器(MSDTC)服务时,攻击便开始了,该服务可协调跨越多个资源管理器(例如数据库,消息队列和文件系统)的事务。当目标计算机加入域时,一旦MSDTC服务启动,它将搜索注册表。

当计算机加入域中,MSDTC服务启动时,会搜索注册表

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI

在这里插入图片描述

MSDTC服务中的MTxOCI组件搜索三个DLL:*oci.dll,SQLLib80.dll和xa80.dll。**Windows系统默认不包含oci.dll

我们将后门dll将其重命名为oci.dll,并将其放置在 %SystemRoot%\ system32 \中oci.dll就绪,使用远程作业命令杀死MSDTC服务(taskkill /im msdtc.exe /f),从而导致MSDTC重新加载自身。但是,这一次它将查找并找到oci.dll

这时候就会利于这个服务把我们的后门dll拉起来。

如果mstdc服务没有自动重启,我们可以利用命令进行重启

net start msdtc

在这里插入图片描述

在这里插入图片描述

为了获得system权限,可采用降权启动,使用命令:

以管理员身份运行命令提示符执行以下内容,可以将权限修改为管理员。

msdtc -install

MSDTC服务不是域环境特有,工作组环境下默认也会启动MSDTC服务

利用方法不仅适用于域环境,工作组环境也同样适用

msdtc "服务默认没有被配置为在开机自启,因为启动类型被设置为 “手动”。配置服务在启动时自动启动将加载任意DLL,并在系统上创建持久性。

sc qc msdtc
sc config msdtc start= auto
evilxpl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
msdtc备份oracle,域渗透-msdtc实现dll劫持后门
weixin_40006965的博客
04-13 210
最近用的多 一个实用小tips 文章参考原创Shadow Force大牛 翻译文章参考三好大佬利用MSDTC服务加载后门dll,实现自启动后门后门思路可以查看趋势科技文章0x01MSDTC简介msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器。msdtc.ex...
msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务
cao919的专栏Net
03-23 1493
msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务
msdtc.exe winxp or win2003
10-26
msdtc.exe winxp or win2003
DLL劫持 - 以间谍的方式获取EXE主调程序与DLL被调程序的交互数据
Jhon的博客
07-03 509
本文讲解了在知道DLL接口函数调用规则的情况下,如何劫持DLL,使程序调用自己开发的DLL,从而改变程序的一些行为。这种方法经常用在破解收费软件上。 下图是基本原理:EXE原定调用“a.dll”,但是“b.dll”改名为“a.dll”,又将原来的“a.dll”改名为“a1.dll”,并在自己开发的“b.dll”中加入了调用“a1.dll”的代码,从而实现了一种“中继”的效果。一旦劫持成功,自己开发的“b.dll”中就能获取EXEDLL之间交互的数据。待解读完这些数据后,自己便可以开发这个DLL,从而实现
msdtc.exe安装iis用到得文件
11-13
msdtc.exe 安装iis用到得文件 必备
工具软件DTCPing.exe V2.0
03-25
使用DTCPing工具解决MSDTC问题(新事务无法在指定的事务协调器中登记) 一、msdtc依赖于rpc,rpc使用的端口是135,测试135端口是否打开. 是否有防火墙?如果有先关了防火墙. telnet ip 135 如果是关闭的打开它. 二、两台...
MSDTC服务配置参照.pdf
11-04
MSDTC服务配置参照 MSDTC(Distributed Transaction Coordinator)服务是一种分布式事务服务,用于管理跨多个服务器的数据库事务。在使用MSDTC服务之前,需要在参与的双方服务器上启动MSDTC服务,并进行相应的配置...
ASP.net无法加载oci.dll解决新法
01-02
看老师们在一台新虚拟机上迁移一个ASP.net与ORACLE的程序,一直出现oci.dll无法加载的问题,用regsvr32注册,提示: 代码如下: oci.dll was loaded,but the DLLRegisterServer entry point was not found. 研究了...
dll 调用exe_内网渗透研究:dll劫持权限维持
weixin_39523280的博客
11-27 559
本文所采用技术,仅用来实现自定义功能,适用场景仅为授权的测试中进行权限维持或为个人电脑添加定制化功能,如:启动QQ同时启动计算器,方便实用~0×01 DLL劫持当一个可执行文件运行时,Windows加载器会将PE(Portable Executable File Format)文件映射到内存中,然后分析可执行文件的导入表,并将相应的DLL文件装入,EXE文件通过导入表找到DLL中相应的函...
windows权限维持方法详解
good good study
01-23 3514
在获取服务器权限后,为了防止服务器管理员发现和修补漏洞而导致对服务器权限的丢失,测试人员往往需要采取一些手段来实现对目标服务器的持久化访问。 权限持久化(权限维持)技术就是包括任何可以被测试人员用来在系统重启、更改用凭据或其他可能造成访问中断的情况发生时保持对系统的访问技术。
红队笔记之巧用系统启动项玩转Windows权限维持
明光札记
12-06 991
文章目录启动文件夹利用所在位置利用方法组策略的利用所在位置利用方法注册表利用所在位置利用方法方法一:使用reg add进行添加方法二:使用Metasploit后渗透模块添加方法三:使用SharPersist工具方法四:基于msdtcdll劫持后门 Windows中有很多自动启动程序的方法,这些方法稍加利用可以即可帮助我们完成Windows下的权限维持,下文将分别从启动文件夹利用,组策略利用,注册表利用分别展开 启动文件夹利用 启动文件夹利用思路较为简单,即将Payload文件放在启动文件夹,再利用文件
计算机中丢失meg.dll,DLL劫持学习及复现
weixin_36140683的博客
07-25 521
0x01 dll简介在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library),即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数(DLLMain),系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数:1.进程装载DLL。2....
exe msdt 无法上网_msdt(缺失msdtexe连不上网)
weixin_35684578的博客
01-16 8677
/windows/System32/msdt.exe,请确认文件名是否正确,这是什么问题?重装下网卡驱动程序试试。如果不行,直接换个可以自动安装机器硬件驱动程序的系统盘重装系统就行了,这样就可以全程自动、顺利解决wifi不能使用的问题了。用u盘或.“msdt”全称“Microsoft Support Diagnostic Tool”,中文“微软支持诊断工具”,是微软的技术支持人员使用的协助客户解决...
游戏软件提示dll丢失、缺少dll等解决方法及dll文件大合集
min_j的专栏
08-14 1万+
DLL为动态链接库缩写,是一个包含可由多个程序同时使用的代码和数据的库,很多软件和游戏运行都需要依赖DLL文件,缺少它可能会造成部分软件或游戏无法正常运行。由于用户误删或由于文件中毒被杀毒软件查杀等原因都会造成DLL文件丢失,当电脑提示“计算机丢失**.dll”或“没有找到**.dll”等类似错误信息,一般重新拷贝该dll文件到系统目录即可解决。 例如: 在运行某软件或运行游戏时提示缺
[DLL劫持] 3 DLL劫持之实践 例子
智者千虑 必有一失
07-12 4679
该系列文章是依据本人平时对动态链接库的学习,归纳总结,所做的学习笔记。如有错误或待改善之处,请留下您宝贵的意见或建议。   先说说DLL劫持的原理吧,以下这段来自百度百科对DLL劫持原理的说明: 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
wsl2使用root用户以管理员身份运行终端执行如下命令“sudo find / -type f -name nsight-compute-2023.1.1”仍然会报错:find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/System32/Tasks_Migrated’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/System32/WDI’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/System32/WebThreatDefSvc’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SystemTemp’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/Com/dmp’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/config’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/Configuration’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/FxsTmp’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/Msdtc’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/NetworkList’: Permission denied find: ‘/mnt/c/$WINDOWS.~BT/NewOS/Windows/SysWOW64/sru’: Permission denied
最新发布
06-07
这是因为你的命令在搜索过程中会尝试访问一些系统目录,而这些目录对普通用户是没有权限访问的。你可以尝试使用 sudo 命令以管理员身份运行整个命令,如下所示: ``` sudo find / -type f -name nsight-compute-2023.1.1 2>/dev/null ``` 这样做可以将错误输出重定向到 /dev/null 中,从而避免在终端中看到这些错误信息。但请注意,在搜索整个文件系统时,这个命令可能需要较长时间才能完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值