最近用的多 一個實用小tips 文章參考原創Shadow Force大牛 翻譯文章參考三好大佬
利用MSDTC服務加載後門dll,實現自啓動後門
後門思路可以查看趨勢科技文章
0x01 MSDTC簡介
msdtc.exe是微軟分佈式傳輸協調程序。該進程調用系統Microsoft Personal Web Server和Microsoft SQL Server。該服務用於管理多個服務器。
msdtc.exe是一個並列事務,是分佈於兩個以上的數據庫,消息隊列,文件系統或其他事務保護資源管理器,刪除要小心。
對應服務MSDTC,全稱Distributed Transaction Coordinator,Windows系統默認啓動該服務
對應進程msdtc.exe,位於%windir%system32
當Windows操作系統啓動Microsoft分佈式事務處理協調器(MSDTC)服務時,攻擊便開始了,該服務可協調跨越多個資源管理器(例如數據庫,消息隊列和文件系統)的事務。當目標計算機加入域時,一旦MSDTC服務啓動,它將搜索註冊表。
當計算機加入域中,MSDTC服務啓動時,會搜索註冊表HKEY_LOCAL_MACHINE SOFTWARE MicrosoftMSDTC MTxOCI
MSDTC服務中的MTxOCI組件搜索三個DLL:oci.dll,SQLLib80.dll和xa80.dll。Windows系統默認不包含oci.dll
我們將後門dll將其重命名爲oci.dll,並將其放置在 %SystemRoot%\ system32 \中。oci.dll就緒,使用遠程作業命令殺死MSDTC服務(taskkill / im msdtc.exe / f),從而導致MSDTC重新加載自身。但是,這一次它將查找並找到oci.dll。
這時候就會利於這個服務把我們的後門dll拉起來。
0x02 後門復現
oci.dll放入system32 重啓msdtc服務
taskkill /f /im msdtc.exe
cobalt strike裏使用sc調用服務
可以看到我們的後門oci.dll拉起來了
MSDTC服務不是域環境特有,工作組環境下默認也會啓動MSDTC服務
利用方法不僅適用於域環境,工作組環境也同樣適用
降權使用:
msdtc -install
對於普通用戶主機,建議禁用服務MSDTC
參考:
https://blog.trendmicro.com/trendlabs-security-intelligence/shadow-force-uses-dll-hijacking-targets-south-korean-company/
https://www.4hou.com/system/6890.html