前言:
按照慣例,到公司打開rss來看最新咨詢,發(fā)現(xiàn)subTee新發(fā)了一個文章, 利用ODBCCONF.EXE加載dll來執(zhí)行,不用注入的方式,直接加載運行,類似netsh加載dll,不過netsh很多軟件都會用到,這樣的話就netsh可以留個持久性的后門,但是ODBCCONF.EXE就不一樣了,他并不是自啟的,只能說用他來繞過一些白名單檢測設備泼差。
我本地進行了一次測試,把具體過程還原下贫堰。
簡介:
ODBCCONF.exe是一個命令行工具桐臊,它允許您配置ODBC驅動程序和數(shù)據(jù)源名稱,可能在以后的版本會刪除,可以使用PowerShell命令來管理驅動程序和數(shù)據(jù)源。
看了ODBCCONF的文檔,我們可以發(fā)現(xiàn)有兩種方式來加載dll,/A和/F,所以帮非,我們可以加載一個任意的dll,如
odbcconf.exe / A {REGSVR evil.dll}
odbcconf.exe /?F odbcconf.config(經(jīng)測試 后綴名可以隨意)
用法:
poc源碼:https://gist.github.com/NickTyrer/6ef02ce3fd623483137b45f65017352b
需要添加NuGet Gallery
步驟:VS--》Tools--》
我使用/f 參數(shù)
odbcconf.exe /?F odbcconf.sb(這個代碼內(nèi)容是加載odbcconf-x64.dll)
odbcconf-x64.dll中主要是創(chuàng)建一個交互式的PowerShell三热。
