基于白名单 Regsvr32 执行 Payload 第九季
Regsvr32简介:
Regsvr32命令用于注册COM组件,是 Windows 系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行。WinXP及以上系统的regsvr32.exe在windowssystem32文件夹下;2000系统的regsvr32.exe在winntsystem32文件夹下。但搭配regsvr32.exe 使用的 DLL,需要提供 DllRegisterServer 和 DllUnregisterServer 两个输出函式,或者提供DllInstall输出函数。
说明:Regsvr32.exe所在路径已被系统添加PATH环境变量中,因此,Regsvr32命令可识别。
Windows 2003 默认位置:
C:WINDOWSSysWOW64regsvr32.exe
C:WINDOWSsystem32regsvr32.exe
攻击机: 192.168.1.4 Debian
靶机: 192.168.1.119 Windows 2003
msf已内置auxiliary版本的regsvr32_command_delivery_server,但是最新版已经无exploit版本regsvr32,文章结尾补充。
配置攻击机msf:
靶机执行:
附:powershell版Regsvr32
regsvr32_applocker_bypass_server.rb
使用方法:
copy regsvr32_applocker_bypass_server.rb to /usr/share/metasploit-
framework/modules/exploits/windows/misc
文章作者:Micropoor