日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

打開文件夾就能運行指定的程序?這不是天方夜譚，而是在現(xiàn)實世界中確實存在的。利用本文探討的COM劫持技術，可以輕松實現(xiàn)出打開文件夾就運行指定代碼的功能。對于COM劫持技術，國內很少有資料進行原理闡述，本文結合自身分析經驗對COM劫持技術進行歸納總結。同時，希望各大安全廠商針對此類利用做好防護，保護用戶信息安全。

公司主營業(yè)務：網站制作、成都網站建設、移動網站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出郾城免費做網站回饋大家。

前言

所謂“罵人先罵娘，擒賊先擒王”，首先給出讀者最最關心的劫持文件夾的利用方法的效果展示：

為了理解本文內容，我們首先要了解COM的一些基本的概念：

接口：一組函數的總稱，這些函數也被稱為”方法”，通常情況下，接口的名稱都是以“I”開關，例如：”IShellFolder”.接口可以繼承。

Component object class(coclass)：也就是組件，組件包含在一個DLL或者exe文件中，它包含了一個或多個接口的實現(xiàn)代碼。組件實現(xiàn)了它包含的所有接口。

COM object：是組件的一個實例。

COM server：一個dll或者exe文件，包含了一個或者多個組件。

COM library：是操作系統(tǒng)的一部分，負責響應用戶程序。

GUID：唯一的、128位的標識對象的標識. 全局唯一標識符，是唯一的一個ID，類似于物理網址那樣。

CLSID：class id，唯一的標識組件。

IID：interface id，用來標識接口。

此外，對于windows操作系統(tǒng)，存在著虛擬文件夾，控制面板，我的電腦等都是系統(tǒng)中的虛擬文件夾。這種虛擬文件夾在注冊表中都會有一個CLSID與之對應，例如，我的電腦對應的CLSID是{20D04FE0-3AEA-1069-A2D8-08002B30309D}，控制面板的CLSID是{21EC2020-3AEA-1069-A2DD-08002B30309D}。

那么怎樣可以看到這些虛擬文件夾呢?以“我的電腦”虛擬文件夾為例，在開始–運行中輸入”:: {20D04FE0-3AEA-1069-A2D8-08002B30309D”就可以打開我的電腦。但需要注意的是，在WIN7下，輸入::{21EC2020-3AEA-1069-A2DD-08002B30309D}可以打開控制面板，但在xp系統(tǒng)下，打開控制面板需要輸入的命令為：”::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}”。

利用方法

作為演示，我們執(zhí)行代碼的功能為，彈出一個類似與下圖的對話框，其中顯示出了調用這個DLL的進程路徑及PID信息。

把大象裝進冰箱里需要三步，我們的利用也分為三步：

1.精選CLSID，盡量選擇系統(tǒng)應用范圍廣的CLSID，這樣的模塊可以保證系統(tǒng)在進行很多功能時都會加載dll。我們選擇的CLSID為：{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}，其對應著CAccPropServicesClass類。

修改注冊表，將CLSID對應的DLL文件修改成實現(xiàn)了某些待定功能的文件(這個文件是由我們精心構造的，不然無法利用成功)。

可通過將下列數據導入到注冊表實現(xiàn)

1. Windows RegistryEditor Version 5.00 
2. [HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}]
3. [HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32]
4. @="freebuf.dll"
5. "ThreadingModel"="Apartment"

2. 新建文件夾，以CLSID做為后綴名，同時將我們的利用dll拷貝到系統(tǒng)目錄下:

這里的文件名可以充分發(fā)揮想象力(騙術)，利用社會工程學，起個誘惑的文件夾名，比如，目標喜歡日本姑娘，文件夾就叫做” 小澤にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}”

3. 打開文件夾，成功利用

利用的步驟很簡單，其中最為關鍵是我們實現(xiàn)代碼的dll以及CLSID的選擇，這不是一個普通的dll，而是dll中的”戰(zhàn)斗dll”，這是一個實現(xiàn)了COM接口的dll,并且在dll的導出函數的返回值有特殊要求。具體可以參見文末附件中的代碼。

背后的故事

通過上面的圖，可以看出，我們的DLL實際上是由verclsid.exe加載的。而verclsid.exe是通過shell32.dll中的函數調用起來的。在shell32.dll中SHExtCoCreateInstance函數成功調用后，verclsid.exe才會被加載。

而SHExtCoCreateInstance只是對_SHExtCoCreateInstance2的封裝

而通過ida看到_SHExtCoCreateInstance2調用了_ShouldLoadShellExt，所有_ShouldLoadShellExt成功返回(返回非0值)，才能加載verclsid.exe.

_ShouldLoadShellExt在對注冊表Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked和Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved進行判斷后，調用了_QueryClassInterface，而要求_QueryClassInterface返回一個非0值，就只能是下圖中的 v17=ExitCode==0代碼的地方。

綜全上面的過程，要想成功利用，只要使CreateProcessW函數調用verclsid.exe結束時的exitcode等于0。

對verclsid.exe分析

調用verclsid.exe傳遞的參數有：

/S：隨后調用OLE32!CoInitializeEx函數時的參數;

/C ： CLSID;

/I ：Interface id;

/X：調用OLE32!CoCreateInstance函數時所需要的參數值;

隨后，通過下面的函數調用com組件

調用OLE32!CoCreateInstance

調用ppv->QueryInterface

隨后會調用

ppv->Release()

CoUninitialize()

然后，函數就正常返回，當函數正常返回時，verclsid.exe的exitcode等于0。這就保證了我們的dll能夠被加載成功。

所以，我們只需要寫一個COM服務dll，使verclsid.exe調用這個服務dll的接口時，返回S_OK就OK了。具體關于COM服務dll的編寫，請參考附件鏈接。

附件下載：鏈接：http://pan.baidu.com/s/1ckPWDo 密碼：pniu

總結

 這種COM劫持技術最大的優(yōu)點在于，不需要進行動態(tài)的dll注入等操作，可以繞開主動防御，此外，這種利用的加載進行為操作系統(tǒng)的verclsid.exe，宿主進程是天生的白進程，也可以繞開白名單機制。而且劫持dll的加載是由系統(tǒng)底層機制決定的。另外，這種技術很可能被用于網絡黑產，這也要求安全廠商提高對這種劫持行為的識別與檢測。

網頁名稱：打開文件夾就運行？COM劫持利用新姿勢
網站URL：http://www.5511xx.com/article/dhjdjoh.html