COM劫持 BypassUAC

最新推荐文章于 2024-05-13 06:34:59 发布
最新推荐文章于 2024-05-13 06:34:59 发布
阅读量869 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/109911748
版权

什么是com
com是Component Object Model(组件对象模型)的缩写
come是微软公司未来计算机工业的软件生产更符合人类的行为方式开发的一种新的软件开发技术。在com架构下,人们可以开发各种各样的功能专一的组件,
然后将他们安装需要组合起来,构成复杂的应用系统
在这里插入图片描述

这里不得不说一下CLSID
CLSID(Class Identifier)全局唯一标识符,CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系组件分配的一个唯一表示他的ID代码,
用来对其身份的标识和其他对象进行区分
com组件加载的过程

1:HKCU\Software\Classes\CLSID
2:HKCR\CLSID
3:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\shellCompatibility\Objects\

只要是调用windowAPI的,在底层上都会调用com组件,window由很多组件组成的,并不是api组成的,api也会调用一些组件,这些组件就是com组件

com组件劫持原理

当进程寻找com组件时,首先会寻找:
HKCU\Software\Classes\CLSID
我们直接在CLS
最低0.47元/天 解锁文章
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
科普_COM组件劫持原理与实践
KHOST的博客
09-08 1143
0x00 前言 在术的道路上,从来都是独善其行,如能结余同行,自当求之不得。 玄幻小说的世界结构,放之现代也是同理,望成之所成,念之所念。 0x01 什么是COM 什么是COM,说白了,就是一堆功能相关的interface,它是某种语言向另一种语言暴露功能的最大单位。 COMcomponent(COM组件)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新的软件开发技术...
COM对象劫持,深入讲解网络安全
m0_60635321的博客
04-05 626
以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。meta:condition:自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
如何使用COM-Hunter检测持久化COM劫持漏洞
阿道夫的博客
03-01 1061
1、在目标用户的计算机中查找有效的CLSID;2、通过目标用户计算机中的任务调度器(Task Scheduler)查找有效的CLSID;3、找出是否有人已经使用了这些有效的CLSID来进行持久化COM劫持(LocalServer32);4、找出是否有人通过任务调度器(TaskScheduler)使用了任何有效的CLSID来执行持久化COM劫持(LocalServer32);5、尝试通过任务调度器(Task Scheduler)自动执行持久化COM劫持
Windows权限提升—BypassUAC、DLL劫持、引号路径、服务权限等提权
最新发布
2301_79985178的博客
05-13 84
这里的图片我借用一下其它博客的,由于我自己电脑以及其它电脑,虚拟机都没有这样的路径。次序执行。
com组件 的劫持_打开文件夹就运行?COM劫持利用新姿势
weixin_42518981的博客
12-29 403
*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。前言所谓“骂人先骂...
com组件 的劫持_一种劫持COM服务器并绕过微软反恶意软件扫描接口(AMSI)的方法...
weixin_39660922的博客
12-29 252
Microsoft的反恶意软件扫描接口(AMSI)在Windows 10中被引入,作为标准接口,它可以让AV引擎将签名应用于内存和磁盘上的缓冲区。这使得AV产品能够在脚本解释之前“hook”,这意味着任何经过混淆或加密的PS程序都经过了解密程序的解密。你可以在这里和这里阅读有关AMSI的更多信息。这篇文章将介绍一种通过劫持COM服务器来绕过AMSI的方式,并分析Microsoft是如何在build...
COM对象劫持,2024年最新阿里面试官
2401_83946826的博客
04-15 956
以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。meta:### 给大家的福利**零基础入门**对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。!同时每个成长路线对应的板块都有配套的视频提供:!
slui-file-handler-hijack-privilege-escalation:Slui文件处理程序劫持UAC绕过本地特权升级
05-25
Slui文件处理程序劫持LPE 利用信息 日期 15.01.2018 已修补 Windows 10 20H1(19041) 漏洞数据库 经过测试 Windows 8-10,x86 / x64独立 描述 slui.exe是自动提升的二进制文件,容易受到文件处理程序劫持的攻击...
DccwBypassUAC:Windows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
02-06
《DccwBypassUAC:Windows 8.1与10 UAC绕过技术解析——基于"dccw.exe"的WinSxS利用》 在网络安全领域,了解并掌握系统漏洞利用技术至关重要,尤其是针对操作系统核心组件的利用。本文将深入探讨一个名为...
欺骗方式绕过vista windows7 UAC
05-27
1. **exploits**:利用Windows系统中的特定漏洞,如DLL劫持、权限提升等,以避开UAC检查。 2. **注册表修改**:通过修改注册表项来改变UAC的行为,使其在特定条件下不触发提示或降低权限验证级别。 3. **假冒签名**...
xss常见的bypass方案
03-06
XSS攻击通常通过注入恶意代码到网页中,当用户浏览这些页面时,恶意脚本会被执行,可能导致数据泄露、会话劫持等安全问题。"XSS常见的bypass方案"指的是绕过网站的安全防护措施,成功实施XSS攻击的策略。以下是一些...
浏览器被hao123.com劫持解决办法
01-19
浏览器被hao123.com劫持是一种常见的网络现象,主要表现为用户在打开浏览器时,不论输入哪个网址,都会被强制重定向到hao123.com网站。这种情况通常是由于恶意软件、浏览器插件或者不安全的浏览习惯导致的。解决这个...
COM对象劫持
weixin_55030700的博客
03-13 1771
以下是一个示例规则,例如使用修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
com组件 的劫持_无招胜有招: 看我如何通过劫持COM服务器绕过AMSI
weixin_35719180的博客
12-29 436
在Windows 10中,Microsoft的反恶意软件扫描接口(AMSI)被作为新功能被引入,作为标准接口,该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够在恶意程序的脚本被解释执行之前执行劫持操作,这在一定程度上意味着任何的代码混淆或加密都有相对应的例程去还原和解密程序。如果需要更多详细的有关AMSI的信息,您可以在这里阅读有关AMSI的更多信息。在这...
com组件 的劫持_COM Object hijacking后门的实现思路——劫持CAccPropServicesClass和MMDeviceEnumerator...
weixin_34954308的博客
12-29 205
0x00 前言在之前的文章《Use CLR to maintain persistence》介绍了通过CLR劫持所有.Net程序的方法,无需管理员权限,可用作后门。美中不足的是通过WMI添加环境变量需要重启系统。本文将继续介绍另一种后门的利用方法,原理类似,但优点是不需要重启系统,同样也不需要管理员权限。注:本文介绍的方法曾被木马COMpfun使用详细介绍地址:0x01 简介本文将要介绍以下内容:...
怎么通俗的解释COM组件?
七侠镇莫小贝的同福客栈
08-10 652
https://www.zhihu.com/question/49433640/answer/115952604 作者:灵剑 链接:https://www.zhihu.com/question/49433640/answer/115952604 来源:知乎 著作权归作者所有,转载请联系作者获得授权。 解释不解释也都是死掉了的技术了啊…… COM主要是一套给C/C++
COM Object hijacking后门的实现思路——劫持explorer.exe
weixin_34365417的博客
09-12 647
本文讲的是COM Object hijacking后门的实现思路——劫持explorer.exe,在之前的文章介绍了两种利用COM对象劫持实现的后门,利用思路有一些区别: 第一种,通过CLR劫持.Net程序 正常CLR的用法: 设置注册表键值HKEY_CURRENT_USERSoftwareClassesCLSID cmd下输入: SET COR_EN...
C++学习笔记 (二)面向对象:封装、继承、多态
是鲤鱼啊
01-22 310
1.内存 分四区(意义:对不同区域的数据,赋予不同的生命周期,给我们更大的灵活编程) (1)代码区:存放二进制代码,由操作系统管理 (2)全局区:存放全局变量、静态变量、常量(该区数据由系统释放) (3)堆区:由人分配、释放。若人没手动释放,则结束时会由操作系统回收(用new在堆区开辟内存,用delete释放) new返回的是该类型数据的指针,如int* p = new int(10);...
后门及持久化访问4----Com组件劫持
浅笑996的博客
07-01 1002
代码及原理介绍 COMComponent Object Model(组件对象模型)的缩写,COM组件由DLL和EXE形式发布的可执行代码所组成。每个COM组件都有一个CLSID,这个CLSID是注册的时候写进注册表的,可以把这个CLSID理解为这个组件最终可以实例化的子类的一个ID。这样就可以通过查询注册表中的CLSID来找到COM组件所在的dll的名称。所以要想COM劫持,必须精心挑选CLSID,尽量选择应用范围广的CLSID。这里,我们选择的CLSID为:{b5f8350b-0548...
com.antiforgery.js
01-13
com.antiforgery.js 是一个用于防止跨站请求伪造(CSRF)攻击的 JavaScript 库。CSRF 攻击是一种利用受害者在已登录的情况下执行未经其同意的操作的攻击方式。该攻击通常发生在 Web 应用程序中,攻击者向受害者发送包含恶意请求的链接或图片,当受害者点击链接或加载图片时,其浏览器会自动执行恶意操作,从而造成损害。 com.antiforgery.js 通过生成和验证 CSRF 令牌来防止这种攻击。当用户第一次访问应用程序时,CSRF 令牌会被生成并保存在用户的会话中。当用户执行需要保护的操作时,com.antiforgery.js 会将该令牌嵌入到请求中。服务器在处理请求之前会验证令牌的有效性,如果验证失败,则拒绝该请求。 该库还提供了其他功能,如防止重复提交和防止点击劫持。它使用了一些安全策略,如同源检测、HTTP 头部验证和密钥生成器等。 使用 com.antiforgery.js 可以有效地保护 Web 应用程序免受 CSRF 攻击的威胁,确保用户的操作得到适当的授权和验证。它是一种常见的安全实践,用于保护 Web 应用程序和用户数据的安全性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值