基于白名单 Regsvr32 执行 Payload 第九季

Regsvr32简介：

Regsvr32命令用于注册COM组件，是 Windows 系统提供的用来向系统注册控件或者卸载控件的命令，以命令行方式运行。WinXP及以上系统的regsvr32.exe在windowssystem32文件夹下；2000系统的regsvr32.exe在winntsystem32文件夹下。但搭配regsvr32.exe 使用的 DLL，需要提供 DllRegisterServer 和 DllUnregisterServer 两个输出函式，或者提供DllInstall输出函数。

说明：Regsvr32.exe所在路径已被系统添加PATH环境变量中，因此，Regsvr32命令可识别。

Windows 2003 默认位置：

C:WINDOWSSysWOW64regsvr32.exe

C:WINDOWSsystem32regsvr32.exe

攻击机： 192.168.1.4  Debian

靶机：    192.168.1.119 Windows 2003

msf已内置auxiliary版本的regsvr32_command_delivery_server，但是最新版已经无exploit版本regsvr32，文章结尾补充。

配置攻击机msf：

靶机执行：

附：powershell版Regsvr32

       regsvr32_applocker_bypass_server.rb

使用方法：

copy regsvr32_applocker_bypass_server.rb to  /usr/share/metasploit-

framework/modules/exploits/windows/misc

文章作者:Micropoor