域滲透-msdtc實現dll劫持後門

最近用的多  一個實用小tips 文章參考原創Shadow Force大牛  翻譯文章參考三好大佬

 

 

利用MSDTC服務加載後門dll，實現自啓動後門

後門思路能夠查看趨勢科技文章

https://blog.trendmicro.com/trendlabs-security-intelligence/shadow-force-uses-dll-hijacking-targets-south-korean-company/

 

 

 

 

 

0x01 MSDTC簡介

    msdtc.exe是微軟分佈式傳輸協調程序。該進程調用系統Microsoft Personal Web Server和Microsoft SQL Server。該服務用於管理多個服務器。
msdtc.exe是一個並列事務，是分佈於兩個以上的數據庫，消息隊列，文件系統或其餘事務保護資源管理器，刪除要當心。

 

對應服務MSDTC，全稱Distributed Transaction Coordinator，Windows系統默認啓動該服務

 

 

 

對應進程msdtc.exe,位於%windir%system32

 

 

 

 

當Windows操做系統啓動Microsoft分佈式事務處理協調器（MSDTC）服務時，攻擊便開始了，該服務可協調跨越多個資源管理器（例如數據庫，消息隊列和文件系統）的事務。當目標計算機加入域時，一旦MSDTC服務啓動，它將搜索註冊表。

當計算機加入域中，MSDTC服務啓動時，會搜索註冊表HKEY_LOCAL_MACHINE    SOFTWARE     MicrosoftMSDTC    MTxOCI

 

 

 

 

 

 

MSDTC服務中的MTxOCI組件搜索三個DLL：oci.dll，SQLLib80.dll和xa80.dll。Windows系統默認不包含oci.dll

 

咱們將後門dll將其重命名爲oci.dll，並將其放置在  ％SystemRoot％\ system32 \中。oci.dll就緒，使用遠程做業命令殺死MSDTC服務（taskkill / im msdtc.exe / f），從而致使MSDTC從新加載自身。可是，這一次它將查找並找到oci.dll。

 

這時候就會利於這個服務把咱們的後門dll拉起來。

 

 

 

 

 

 

 

 

0x02 後門復現

 

oci.dll放入system32  重啓msdtc服務

 

taskkill /f /im msdtc.exe

 

cobalt strike裏使用sc調用服務 

 

 

能夠看到咱們的後門oci.dll拉起來了

 

 

 

 

MSDTC服務不是域環境特有，工做組環境下默認也會啓動MSDTC服務

利用方法不只適用於域環境，工做組環境也一樣適用

 

降權使用：

msdtc -install

 

 

 

對於普通用戶主機，建議禁用服務MSDTC

 

 

 

參考:

https://blog.trendmicro.com/trendlabs-security-intelligence/shadow-force-uses-dll-hijacking-targets-south-korean-company/

https://www.4hou.com/system/6890.html