一个有趣的横向移动技术POC代码

admin

102523
文章

87
评论

2023年12月7日09:09:22评论47 views字数 981阅读3分16秒阅读模式

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把Hack分享吧“设为星标”，否则可能看不到了！

项目简介

ServiceMove是一个有趣的横向移动技术的POC代码，通过滥用Windows感知模拟服务来实现DLL劫持代码执行（仅限Windows 10 1809或更高版本）。

每次启动“Windows感知模拟服务”时，都会加载一个不存在的DLL文件（即hid.dll）。通过在“C:WindowsSystem32PerceptionSimulation”中插入精心设计的DLL并远程启动服务，我们能够在远程系统中以“NT AUTHORITYSYSTEM”的身份实现代码执行。

该技术的优点在于它相对隐蔽/OPSEC，因为它不像其他一般横向移动技术（例如，服务创建/修改、计划任务创建）那样具有典型的 IOC。它要做的只是将文件拖放到远程系统并远程启动服务。

工具使用

===General use===  Command: bof-servicemove target /root/hid.dll  


===Force mode===  Description: restart the service if the service is already running  Command: bof-servicemove target /root/hid.dll force


===Cleanup mode===  Description: stop the service if running and delete the DLL payload file  Command: bof-servicemove target cleanup

GIF动图演示：

Lazarus组织曾在一次攻击活动中也使用过ServiceMove这种横向移动技术：通过DeathNote活动发现的Lazarus组织的最新攻击趋势。

参考及来源：https://securelist.com/the-lazarus-group-deathnote-campaign/109490/

一个有趣的横向移动技术POC代码

下载地址

https://github.com/netero1010/ServiceMove-BOF

原文始发于微信公众号（Hack分享吧）：一个有趣的横向移动技术POC代码

左青龙
微信扫一扫

右白虎
微信扫一扫

一个有趣的横向移动技术POC代码

下载地址

Volatility内存取证工具(Windows篇)

渗透必备悬剑武器库5.04版——悬剑5封装版+云武器库+移动安全包

【RedPersist】一款Windows持久化工具

Defender免杀木马生成shellcode框架

GoDHijack ：自动寻找DLL劫持

HEDnsExtractor：一款功能强大的域名与IP安全评估工具

微软发布免费工业安全检测工具

DecryptTools综合解密后渗透工具

Tomcat漏洞利用工具

国密算法 SM4 SM2 SM3 验证工具，附下载

发表评论

在线咨询

微信