關(guān)于COM-Hunter

COM-
Hunter是一款針對持久化COM劫持漏洞的安全檢測工具，該工具基于C#語言開發(fā)，可以幫助廣大研究人員通過持久化COM劫持技術(shù)來檢測目標(biāo)應(yīng)用程序的安全性。

關(guān)于COM劫持

微軟在Windows 3.11中引入了(Component Object Model,
COM)，作為一種實(shí)現(xiàn)對象的方法，這些對象可以被不同的框架(ActiveX, COM+，
DCOM等)使用，并且在不同的Windows環(huán)境中允許互操作性，進(jìn)程間通信和代碼重用。COM對象的濫用使安防團(tuán)隊(duì)能夠代表受信任的進(jìn)程執(zhí)行任意代碼。執(zhí)行COM劫持不需要管理員權(quán)限，因?yàn)镠KCU注冊表配置單元中的類在HKLM中的類之前執(zhí)行。唯一影響高完整性進(jìn)程(提升)的例外情況是，僅從HKLM位置加載對象，以防止特權(quán)提升。

功能介紹

1、在目標(biāo)用戶的計(jì)算機(jī)中查找有效的CLSID；

2、通過目標(biāo)用戶計(jì)算機(jī)中的任務(wù)調(diào)度器（Task Scheduler）查找有效的CLSID；

3、找出是否有人已經(jīng)使用了這些有效的CLSID來進(jìn)行持久化COM劫持（LocalServer32/InprocServer32）；

4、找出是否有人通過任務(wù)調(diào)度器（Task
Scheduler）使用了任何有效的CLSID來執(zhí)行持久化COM劫持（LocalServer32/InprocServer32）；

5、嘗試通過任務(wù)調(diào)度器（Task Scheduler）自動執(zhí)行持久化COM劫持；

6、嘗試使用“TreatAs”鍵來引用其他組件；

工具要求

.NET Framework v4.8

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/nickvourd/COM-Hunter.git

工具幫助信息

[+] Usage:

 

    .\COM-Hunter.exe <mode> <options>

 

-> General Options:

    -h, --help      顯示幫助信息和退出

    -v, --version    顯示工具當(dāng)前版本

    -a, --about     顯示跟工具相關(guān)的其他信息

 

-> Modes:

    Search  搜索模式

    Persist  持久化模式

 

-> Search Mode:

    Get-Entry     搜索有效的CLSID條目

    Get-Tasksch  通過任務(wù)調(diào)度器搜索有效的CLSID條目

    Find-Persist   搜索是否有人已經(jīng)使用了一個有效的CLSID（安全防御）

    Find-Tasksch 搜索是否有人通過任務(wù)調(diào)度器（Task Scheduler）使用了任何有效的CLSID（安全防御）

 

-> Persist Mode:

    General     使用常用方法在注冊表中實(shí)現(xiàn)持久化COM劫持

    Tasksch     嘗試通過任務(wù)調(diào)度器實(shí)現(xiàn)持久化COM劫持

    TreatAs     在注冊表中嘗試使用TreatAs注冊表鍵實(shí)現(xiàn)持久化COM劫持

 

-> General Usage:

    .\COM-Hunter.exe  持久化General <clsid> <full_path_of_evil_dll>

 

-> Tasksch Usage:

    .\COM-Hunter.exe  持久化Tasksch <full_path_of_evil_dll>

 

-> TreatAs Usage:

.\COM-Hunter.exe  持久化TreatAs <clsid> <full_path_of_evil_dll>

工具使用樣例

搜索包含有效CLSID的條目（搜索模式）

.\COM-Hunter.exe Search Get-Entry

尋找持久化劫持點(diǎn)（搜索模式）

.\COM-Hunter.exe Search Find-Persist

常用方法（持久化模式）

.\COM-Hunter.exe Persist General 'HKCU:Software\Classes\CLSID\...' C:\Users\nickvourd\Desktop\beacon.dll

計(jì)劃任務(wù)（持久化模式）

.\COM-Hunter.exe Persist Tasksch C:\Users\nickvourd\Desktop\beacon.dll

有效CLSID格式樣例

Software\Classes\CLSID\...

HKCU:Software\Classes\CLSID\...

HKCU:\Software\Classes\CLSID\...

HKCU\Software\Classes\CLSID\...

HKEY_CURRENT_USER:Software\Classes\CLSID\...

HKEY_CURRENT_USER:\Software\Classes\CLSID\...

HKEY_CURRENT_USER\Software\Classes\CLSID\...

網(wǎng)絡(luò)安全工程師企業(yè)級學(xué)習(xí)路線

這時候你當(dāng)然需要一份系統(tǒng)性的學(xué)習(xí)路線

如圖片過大被平臺壓縮導(dǎo)致看不清的話，可以在文末下載（無償?shù)模?，大家也可以一起學(xué)習(xí)交流一下。

一些我收集的網(wǎng)絡(luò)安全自學(xué)入門書籍

一些我白嫖到的不錯的視頻教程：

上述資料【掃下方二維碼】就可以領(lǐng)取了，無償分享
文章來源地址http://www.zghlxwxcb.cn/news/detail-471293.html

到了這里，關(guān)于如何使用COM-Hunter檢測持久化COM劫持漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！