打开文件夹就运行?COM劫持利用新姿势

*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载

打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。

对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。

前言

所谓“骂人先骂娘,擒贼先擒王”,首先给出读者最最关心的劫持文件夹的利用方法的效果展示:

为了理解本文内容,我们首先要了解COM的一些基本的概念:

接口:一组函数的总称,这些函数也被称为”方法”,通常情况下,接口的名称都是以“I”开关,例如:”IShellFolder”.接口可以继承。 Component object class(coclass):也就是组件,组件包含在一个DLL或者exe文件中,它包含了一个或多个接口的实现代码。组件实现了它包含的所有接口。 COM object:是组件的一个实例。 COM server:一个dll或者exe文件,包含了一个或者多个组件。 COM library:是操作系统的一部分,负责响应用户程序。 GUID:唯一的、128位的标识对象的标识. 全局唯一标识符,是唯一的一个ID,类似于物理网址那样。 CLSID:class id,唯一的标识组件。 IID:interface id,用来标识接口。

此外,对于windows操作系统,存在着虚拟文件夹,控制面板,我的电脑等都是系统中的虚拟文件夹。

这种虚拟文件夹在注册表中都会有一个CLSID与之对应,例如,我的电脑对应的CLSID是{20D04FE0-3AEA-1069-A2D8-08002B30309D},控制面板的CLSID是{21EC2020-3AEA-1069-A2DD-08002B30309D}。

那么怎样可以看到这些虚拟文件夹呢?以“我的电脑”虚拟文件夹为例,在开始–运行中输入”:: {20D04FE0-3AEA-1069-A2D8-08002B30309D”就可以打开我的电脑。

但需要注意的是,在WIN7下,输入::{21EC2020-3AEA-1069-A2DD-08002B30309D}可以打开控制面板,但在xp系统下,打开控制面板需要输入的命令为:”::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}”。

利用方法

作为演示,我们执行代码的功能为,弹出一个类似与下图的对话框,其中显示出了调用这个DLL的进程路径及PID信息。

把大象装进冰箱里需要三步,我们的利用也分为三步:

1.精选CLSID,尽量选择系统应用范围广的CLSID,这样的模块可以保证系统在进行很多功能时都会加载dll。

我们选择的CLSID为:{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7},其对应着CAccPropServicesClass类。

修改注册表,将CLSID对应的DLL文件修改成实现了某些待定功能的文件(这个文件是由我们精心构造的,不然无法利用成功)。

可通过将下列数据导入到注册表实现

Windows RegistryEditor Version 5.00

2. 新建文件夹,以CLSID做为后缀名,同时将我们的利用dll拷贝到系统目录下:

这里的文件名可以充分发挥想象力(骗术),利用社会工程学,起个诱惑的文件夹名,比如,目标喜欢日本姑娘,文件夹就叫做” 小泽にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}”

3. 打开文件夹,成功利用

利用的步骤很简单,其中最为关键是我们实现代码的dll以及CLSID的选择,这不是一个普通的dll,而是dll中的”战斗dll”,这是一个实现了COM接口的dll,并且在dll的导出函数的返回值有特殊要求。具体可以参见文末附件中的代码。

背后的故事

通过上面的图,可以看出,我们的DLL实际上是由verclsid.exe加载的。而verclsid.exe是通过shell32.dll中的函数调用起来的。在shell32.dll中SHExtCoCreateInstance函数成功调用后,verclsid.exe才会被加载。

而SHExtCoCreateInstance只是对_SHExtCoCreateInstance2的封装

而通过ida看到_SHExtCoCreateInstance2调用了_ShouldLoadShellExt,所有_ShouldLoadShellExt成功返回(返回非0值),才能加载verclsid.exe.

_ShouldLoadShellExt在对注册表Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked和Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved进行判断后,调用了_QueryClassInterface。

而要求_QueryClassInterface返回一个非0值,就只能是下图中的 v17=ExitCode==0代码的地方。

综全上面的过程,要想成功利用,只要使CreateProcessW函数调用verclsid.exe结束时的exitcode等于0。

对verclsid.exe分析

调用verclsid.exe传递的参数有:

/S:随后调用OLE32!CoInitializeEx函数时的参数; /C : CLSID; /I :Interface id; /X:调用OLE32!CoCreateInstance函数时所需要的参数值;

随后,通过下面的函数调用com组件

调用OLE32!CoCreateInstance

调用ppv->QueryInterface

随后会调用

ppv->Release()

CoUninitialize()

然后,函数就正常返回,当函数正常返回时,verclsid.exe的exitcode等于0。这就保证了我们的dll能够被加载成功。

所以,我们只需要写一个COM服务dll,使verclsid.exe调用这个服务dll的接口时,返回S_OK就OK了。具体关于COM服务dll的编写,请参考附件链接。

附件下载:链接:http://pan.baidu.com/s/1ckPWDo 密码:pniu

总结

这种COM劫持技术最大的优点在于,不需要进行动态的dll注入等操作,可以绕开主动防御,此外,这种利用的加载进行为操作系统的verclsid.exe,宿主进程是天生的白进程,也可以绕开白名单机制。

而且劫持dll的加载是由系统底层机制决定的。另外,这种技术很可能被用于网络黑产,这也要求安全厂商提高对这种劫持行为的识别与检测。

*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-09-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序猿DD

研究consul的service mesh功能

来源:https://jeremy-xu.oschina.io/2018/07/%E7%A0%94%E7%A9%B6consul%E7%9A%84service...

2373
来自专栏阮一峰的网络日志

如何验证 Email 地址:SMTP 协议入门教程

Email 是最常用的用户识别手段。 开发者常常需要验证邮箱的真实性。一般的方法是,注册时向该邮箱发出一封验证邮件,要求用户点击邮件里面的链接。 ? 但是很多时...

6723
来自专栏Golang语言社区

大型服务端开发的反模式技巧

1. 用线程池执行异步任务 ? 为了减少阻塞时间,加快响应速度,把无需返回结果的操作变成异步任务,用线程池来执行,这是提高性能的一种手段。 你可能要惊讶了,这么...

3106
来自专栏张善友的专栏

MongoDB核心贡献者:不是MongoDB不行,而是你不懂!

近期MongoDB在Hack News上是频繁中枪。许多人更是声称恨上了MongoDB,David mytton就在他的博客中揭露了MongoDB许多现存问题。...

23910
来自专栏日常学python

用Python实现模拟登录正方教务系统抢课

最近学校开始选课,但是如果选课时间与自己的事情冲突,这时候就可以使用Python脚本自助抢课,抢课的第一步即是模拟登录,需要模拟登录后保存登录信息然后再进行操作...

2640
来自专栏FreeBuf

一种被动的Tor网络去匿名化方法

目前针对Tor的攻击检测方法都是采用主动攻击,本文将介绍一种被动攻击的去匿名化方法。 ? 一、当前Tor网络检测方法 当前对Tor网络的攻击检测一般有以下几种...

3779
来自专栏女程序员的日常

SSD固态硬盘的GC与Trim

操作系统:其实并没有删除数据;  事实上,它只是在硬盘前的索引区里标记这块文件占用的区域为无效的,  所以等该区域被擦除后,下次数据将要再次写入的时候,可以写入...

2571
来自专栏程序你好

一个微服务架构的简单示例

3933
来自专栏菩提树下的杨过

Gradle 10分钟上手指南

java的源码构建工具,大致经历了 ant -> maven -> gradle 这个过程,每一次进步,都是在解决之前的工具所带来的问题,简单来说: 1. an...

20510
来自专栏IT笔记

记一次JavaWeb网站技术架构总结

题记 工作也有几多年了,无论是身边遇到的还是耳间闻到的,多多少少也积攒了自己的一些经验和思考,当然,博主并没有太多接触高大上的分布式架构实践,相对比较零碎,随时...

47111

扫码关注云+社区

领取腾讯云代金券