如何通过使用原生的可执行文件(例如 hdwwiz.exe)来加载控制面板项(.cpl 文件)的技巧。.cpl 文件是Windows控制面板扩展,它们通常由相应的可执行文件加载和执行。
攻击方法:
-
hdwwiz.exe是硬件向导的可执行文件,通常用于添加、删除或管理硬件设备。它与hdwwiz.cpl文件相关联,后者是控制面板中硬件向导的实际扩展。 -
通常,
hdwwiz.exe会在其原始位置(如System32文件夹)加载hdwwiz.cpl。 -
但是,如果你将
hdwwiz.exe复制到另一个文件夹(例如c:test),并且在那个位置有一个恶意的hdwwiz.cpl文件,那么当你运行c:testhdwwiz.exe时,它可能会加载同一文件夹中的hdwwiz.cpl而不是原始的控制面板项。 -
这意味着,如果攻击者能够将恶意的
.cpl文件放置在与可执行文件相同的文件夹中,并且诱使用户运行该可执行文件,那么恶意的控制面板项将被加载和执行,可能导致系统受到攻击或被破坏。
这种技术可以被用于所谓的“二进制植入”或“DLL劫持”,这是一种常见的攻击手段,通过替换或添加可疑文件到信任的应用程序目录中,以执行恶意代码。
原文始发于微信公众号(TtTeam):红队Tips DLL劫持
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论