使用odbcconf.exe执行任意dll

2017-02-13  本文已影响181人  ssssssssssssanr

前言:

按照惯例,到公司打开rss来看最新咨询,发现subTee新发了一个文章, 利用ODBCCONF.EXE加载dll来执行,不用注入的方式,直接加载运行,类似netsh加载dll,不过netsh很多软件都会用到,这样的话就netsh可以留个持久性的后门,但是ODBCCONF.EXE就不一样了,他并不是自启的,只能说用他来绕过一些白名单检测设备。

我本地进行了一次测试,把具体过程还原下。

简介:

ODBCCONF.exe是一个命令行工具,它允许您配置ODBC驱动程序和数据源名称,可能在以后的版本会删除,可以使用PowerShell命令来管理驱动程序和数据源。

看了ODBCCONF的文档,我们可以发现有两种方式来加载dll,/A和/F,所以,我们可以加载一个任意的dll,如

odbcconf.exe / A {REGSVR evil.dll}

odbcconf.exe /˚F odbcconf.config(经测试 后缀名可以随意)


用法:

poc源码:https://gist.github.com/NickTyrer/6ef02ce3fd623483137b45f65017352b

需要添加NuGet Gallery

步骤:VS--》Tools--》

我使用/f 参数

odbcconf.exe /˚F odbcconf.sb(这个代码内容是加载odbcconf-x64.dll)


odbcconf-x64.dll中主要是创建一个交互式的PowerShell。


总结:

上一篇下一篇

猜你喜欢

热点阅读