来自 CC防护 2021-01-08 00:39 的文章

ddos防护收费_doss攻击防御

利用Excel DDE通过DCOM进行横向移动

动态数据交换(dynamicdataexchange)是一种遗留的进程间通信机制,早在1987年就已成为某些Windows应用程序的一部分。DDE使应用程序能够请求其他程序提供的项目,例如Microsoft Excel电子表格中的单元格,ddos最好的防御方式,并在这些项目中发生任何更改时收到通知。阅读Philip关于Excel 4.0宏漏洞的博客。在最近关于如何在Office文档中执行无宏代码的讨论中出现了DDE机制。这项技术的工作原理是让Excel(或其他MS Office应用程序)计算表达式("=cmd |'/C calc')!A0",例如)要求通过DDE从另一个应用程序传输数据。这使得攻击者能够指定任意命令行作为要运行的DDE服务器,从而执行任意代码。https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/This功能是在后台使用名为DDEInitiate的方法实现的,该方法通过COM公开。这让我想知道是否可以通过DCOM远程使用Office应用程序中的DDE功能,这种方式类似于SpecterOps(这里和这里)的Matt Nelson所描述的技术,通过DCOM调用这个方法。快速查看Excel.应用程序对象显示承诺。实际上,DDEInitiate方法存在,甚至由MSDN记录。我们可以提供"cmd"作为App参数,而Topic参数将是任何选择的命令行参数。这个方法并不是没有它的怪癖;它将App参数限制为8个字符(不直接为您调用PowerShell)。但是主题有一个更易于管理的字符限制1024,高防cdn服务,这是CreateProcess函数强加的。此外,该方法将".exe"附加到App参数中,便宜的高防cdn,因此命令提示符"试图逃跑"cmd.exe.exe命令",这显然会失败。现在让我们尝试实际运行该方法。起初,cc防御方案,美国高防cdn代理,事情并不像我所希望的那样。单击"是"确实产生了一个运行calc的shell,但是如果需要受害者计算机上的用户与这个极其可疑的警报进行交互(尤其是在他们甚至没有打开Excel的情况下)。我们需要再次查看DCOM对象以获得帮助。DisplayAlerts属性看起来非常有前途,使用它会产生很好的效果。DisplayAlerts属性似乎控制了DDEInitate提供的警报。遗憾的是,虽然其他一些Office应用程序(包括MS-Word)确实通过DCOM公开了DDEInitiate方法,但除了Excel之外,我一直无法让它在任何东西上工作。虽然所有这些都是在一台机器上完成的,但是通过简单的替换,使这项技术远程工作是可以做到的具有现在我们需要做的就是用我们最喜欢的PowerShell下载摇篮替换命令行,我们可以使用新的横向移动技术了。为你的防御创建一个闭环的战略安全流程。阅读如何使用MITRE ATT&CK创建闭环安全流程。hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(3354902,'db7ec7b0-6c73-4af6-86ce-58fe37cec1e0',{});