DCOM 上传和执行
滥用 IMsiServer 接口的 DCOM 横向移动 POC
https://www.deepinstinct.com/blog/forget-psexec-dcom-upload-execute-backdoor
该解决方案包含 2 个项目
-
DCOMUploadExec - 托管横向移动攻击代码的 C++ 项目
-
AssemblyPayload - 弹出消息框的 .NET DLL。这是DCOMUploadExec使用的默认有效负载
基本用法
编译解决方案
Usage: DCOMUploadExec.exe [domain][user]:
@[address]
Local Usage: DCOMUploadExec.exe LOCALHOST (Run this as administrator)
DCOMUploadExec.exe 将:
-
将默认有效负载 DLL AssemblyPayload上传到远程 PC
-
将 DLL 加载到远程 MSIEXEC.exe 进程
-
从 DLL 执行导出
-
接收导出结果
有效负载配置
有效负载必须是具有强名称的.NET 程序集
PayloadConfig.h用于配置DCOMUploadExec将使用的有效负载。
它默认为AssemblyPayload的输出。
为了使用自定义有效载荷:
1.创建一个具有强名称的.NET 程序集,该程序集导出一个名为InitializeEmbeddedUI的函数 - 这将是DCOMUploadExec最终在远程目标上执行的函数
2.在PayloadConfig.h中填写自定义有效载荷的详细信息:
-
PAYLOAD_ASSEMBLY_PATH = //您创建的有效载荷的本地路径
-
ASSEMBLY_NAME = // 程序集名称
-
ASSEMBLY_BITNESS = //“64”表示 x64 有效载荷,“32”表示 x86 有效载荷;
-
ASSEMBLY_VERSION = // 来自的值sigcheck.exe -n PAYLOAD_ASSEMBLY_PATH
-
ASSEMBLY_PUBLIC_KEY = //来自的值 sn.exe -T PAYLOAD_ASSEMBLY_PATH
3.编译DCOMUploadExec并使用它
项目地址:
https://github.com/deepinstinct/DCOMUploadExec
原文始发于微信公众号(Ots安全):我很高兴与您分享我的最新研究成果 - “DCOM 上传和执行”一种先进的横向移动技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论