首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

如何使用COMThanasia对COM对象执行安全审计

科技   2024-10-31 19:09   上海  


关于COMThanasia


COMThanasia是一款针对COM对象的安全审计工具,可以帮助广大研究人员轻松检测COM对象中的各种安全问题。


功能介绍


1、检测COM对象(LaunchPermission、AccessPermission)中不正确的访问控制问题;

2、COM对象中不正确的注册表权限;

3、找到新的Elevation Moniker - UAC Bypass;

4、获取有关特定 CLSID 的详细信息;

5、检查低权限用户跨会话问题;


工具组成


当前版本的COMThanasia由以下几个组件组成:

PermissionHunter

ComDiver

MonikerHound

ClsidExplorer

ComTraveller


工具安装


广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CICADA8-Research/COMThanasia.git

工具使用


PermissionHunter


PermissionHunter 是一个工具,它允许您检查系统上所有 COM 对象上的 LaunchPermission 和 ActivatePermission:

PS A:\mzhmo> .\PermissionHunter.exe -h


                     ,
                `-.   \    .-'
        ,-"`````""-\__ |  /
         '-.._    _.-'` '-o,
             _>--:{{<   ) |)
         .-''      '-.__.-o`
        '-._____..-/`  |  \
                ,-'   /    `-.
                      `
  PermissionHunter - hunt for incorrect LaunchPermission and ActivatePermission


        CICADA8 Research Team
        From Michael Zhmaylo (MzHmO)


PermissionHunter.exe
Small tool that allows you to find vulnerable COM objects with incorrect LaunchPermission and ActivatePermission


[OPTIONS]
-outfile : output filename
-outformat : output format. Accepted 'csv' and 'xlsx'
-h/--help : shows this windows

使用样例:

PS A:\mzhmo> .\PermissionHunter -outfile result -outformat xlsx


                     ,
                `-.   \    .-'
        ,-"`````""-\__ |  /
         '-.._    _.-'` '-o,
             _>--:{{<   ) |)
         .-''      '-.__.-o`
        '-._____..-/`  |  \
                ,-'   /    `-.
                      `
  PermissionHunter - hunt for incorrect LaunchPermission and ActivatePermission


        CICADA8 Research Team
        From Michael Zhmaylo (MzHmO)


[+] Result will be in result, format xlsx
[+] Success

输出内容如下:



ComDiver


此工具可让您检测此类漏洞,并根据搜索 COM 对象时查看的键的优先级扫描注册表。通过这种方式,您甚至可以找到 Shadow COM Hijacking:

PS A:\ssd\gitrepo\COMThanasia\ComDiver\x64\Debug> .\ComDiver.exe -h

 

              \     /

          \    o ^ o    /

            \ (     ) /

 ____________(%%%%%%%)____________

(     /   /  )%%%%%%%(  \   \     )

(___/___/__/           \__\___\___)

   (     /  /(%%%%%%%)\  \     )

    (__/___/ (%%%%%%%) \___\__)

            /(       )\

          /   (%%%%%)   \

               (%%%)

                 !

 

----------- COM DIVER --------------

[?] Small tool to check insecure registry and disk permissions on com objects

[?] ARGS

        -h/--help <- show this message

        --from <CLSID> <- analyze CLSIDs from this clsid

        --target <CLSID> <- analyze one target clsid

        --no-context <- dont check another COM-server context. Only registry analyzing.

        --no-create <- dont create target COM object. This is the fastest mode


使用样例:

.\ComDiver.exe --no-create



MonikerHound


MonikerHound允许我们检测UAC绕过问题:

PS A:\ssd\gitrepo\COMThanasia\MonikerHound\x64\Debug> .\MonikerHound.exe
 
 
          ,_  _  _,
            \o-o/
           ,(.-.),
         _/ |) (| \_
           /\=-=/\
          ,| \=/ |,
        _/ \  |  / \_
            \_!_/
 
 MonikerHound - find your own UAC Bypass!
 
         CICADA8 Research Team
         From Michael Zhmaylo (MzHmO)
 
[+] Potential COM server for elevation moniker found!
Name: CEIPLuaElevationHelper
CLSID: {01D0A625-782D-4777-8D4E-547E6457FAD5}
LocalizedString: @%systemroot%\system32\werconcpl.dll,-351
Enabled: 1
IconReference: @%systemroot%\system32\werconcpl.dll,-6
Activate: Success
PID: 15800
DllHost.exe
[+]........................[+]
[+] Potential COM server for elevation moniker found!
Name: CTapiLuaLib Class
CLSID: {03e15b2e-cca6-451c-8fb0-1e2ee37a27dd}
LocalizedString: @%systemroot%\system32\tapiui.dll,-1
Enabled: 1
IconReference: @%systemroot%\system32\tapiui.dll,-201
Activate: Success
PID: 440
DllHost.exe
[+]........................[+]

ClsidExplorer


ClsidExplorer 允许您检索有关特定 CLSID 的信息:

PS A:\ssd\gitrepo\COMThanasia\ClsidExplorer\x64\Debug> .\CLSIDExplorer.exe -h
CLSIDExplorer.exe - identify all info by clsid
Usage:
.\CLSIDExplorer.exe --clsid "{00000618-0000-0010-8000-00aa006d2ea4}"

使用样例:

PS A:\ssd\gitrepo\COMThanasia\ClsidExplorer\x64\Debug> .\CLSIDExplorer.exe --clsid "{00000618-0000-0010-8000-00aa006d2ea4}"
[{00000618-0000-0010-8000-00aa006d2ea4}]
        AppID: Unknown
        ProgID: Unknown
        PID: 1572
        Process Name: CLSIDExplorer.exe
        Username: WINPC\\Michael
        Methods:
        [0] __stdcall void QueryInterface(IN GUID*, OUT void**)
        [1] __stdcall unsigned long AddRef()
        [2] __stdcall unsigned long Release()
        [3] __stdcall void GetTypeInfoCount(OUT unsigned int*)
        [4] __stdcall void GetTypeInfo(IN unsigned int, IN unsigned long, OUT void**)
        [5] __stdcall void GetIDsOfNames(IN GUID*, IN char**, IN unsigned int, IN unsigned long, OUT long*)
        [6] __stdcall void Invoke(IN long, IN GUID*, IN unsigned long, IN unsigned short, IN DISPPARAMS*, OUT VARIANT*, OUT EXCEPINFO*, OUT unsigned int*)
        [7] __stdcall BSTR Name()
        [8] __stdcall void Name(IN BSTR)
        [9] __stdcall RightsEnum GetPermissions(IN VARIANT, IN ObjectTypeEnum, IN VARIANT)
        [10] __stdcall void SetPermissions(IN VARIANT, IN ObjectTypeEnum, IN ActionEnum, IN RightsEnum, IN InheritTypeEnum, IN VARIANT)
        [11] __stdcall void ChangePassword(IN BSTR, IN BSTR)
        [12] __stdcall Groups* Groups()
        [13] __stdcall Properties* Properties()
        [14] __stdcall _Catalog* ParentCatalog()
        [15] __stdcall void ParentCatalog(IN _Catalog*)
        [16] __stdcall void ParentCatalog(IN _Catalog*)
[END]

ComTraveller


此工具允许您探索所有可用的 COM 对:

PS A:\SSD\gitrepo\COMThanasia\ComTraveller\x64\Debug> .\ComTraveller.exe -h
 
        ,,_
       zd$$??=
     z$$P? F:`c,                _
    d$$, `c'cc$$i           ,cd$?R
   $$$$ cud$,?$$$i       ,=P"2?z "
    $" " ?$$$,?$$$.    ,-''`>, bzP
     'cLdb,?$$,?$$$   ,h' "I$'J$P
  ... `?$$$,"$$,`$$h  $$PxrF'd$"
d$PP""?-,"?$$,?$h`$$,,$$'$F44"
?,,_`=4c,?=,"?hu?$`?L4$'? '
   `""?==""=-"" `""-`'_,,,,
           .ccu?m?e?JC,-,"=?
                """=='?"
 
ComTraveller - small tool to parse and extract information about all registered CLSIDs on the system
Usage:
--file <output> - output filename. Default: output.csv
--from <clsid> - start exploring clsids from this clsid. (for ex. default enum from 1 to 9. with --from 4 will be from 4 to 9)
--session <session> - use if you want to check Cross-Session Activation in a specific session. Useful only with 'Run as interactive user COM objects'
--target <CLSID> - analyze this CLSID
-h/--help - shows this screen

使用样例:

.\ComTraveller.exe --file rep.csv --session 1



项目地址


COMThanasia

https://github.com/CICADA8-Research/COMThanasia


FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复「加群」,申请加入群聊

https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/com-hijacking
FreeBuf
中国网络安全行业门户
 最新文章
2025年,这些网安“传奇产品”都凉了?
CEO被捕事件后,Telegram与执法部门共享的用户数据激增
知名基因测序仪曝BIOS漏洞,可禁用疾病监测和疫苗开发
Group3r:一款针对活动目录组策略安全的漏洞检测工具
Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
4年内重复出现3次,AWS屡曝严重RCE漏洞
LegionLoader滥用Chrome扩展传播多种恶意软件
Exegol:一款功能完整的社区驱动型渗透测试工具
电台派“兑”,发图文换Su7车模
知名化工巨头被勒索攻击,泄露761.8GB数据
Threatcl:一款威胁模型记录与归档工具
Windows 曝9.8分漏洞,已有PoC及利用情况
超过300万台未加密的邮件服务器暴露
Exposor:一款基于互联网搜索引擎实现的统一语法网络侦查工具
通过密评需要哪些安全设备?
FreeBuf周报 | 超过300万台未加密的邮件服务器暴露;WPA3协议存在安全漏洞
用户集体起诉Siri“偷听”
Agneyastra:一款Firebase 错误配置检测工具包
准备好了吗?安全运营正式进入AI时代
黑客滥用AWS泄露的信息进行云狩猎
日本最大的移动运营商因DDoS攻击导致服务中断
CEmu:一款轻量级多平台架构汇编训练场
至少35个Chrome扩展被劫持,新细节揭示了黑客的攻击手法
新的“DoubleClickjacking”漏洞可绕过网站的劫持保护
Knock:一款模块化的子域名扫描工具
WPA3协议存在安全漏洞,黑客可获取WiFi密码
老旧D-Link路由器成了僵尸网络的武器
大量Chrome扩展程序遭黑客攻击,60万用户数据危险
SilverSamlForger:一款针对Silver SAML的安全研究工具
CCSIP 2024中国网络安全行业全景册(第七版)发布 | FreeBuf咨询
《银行保险机构数据安全管理办法》发布
pwnobd:一款针对OBD-II设备的漏洞分析与渗透测试工具
跨年首映 |《我的百万网安男友》两集连播
FreeBuf 2025年度线上&线下活动年度企划目录
亚太地区恐在2025年面临更多深度伪造、量子攻击威胁
Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
Windows Defender成黑客武器,可禁用EDR
曹县黑客2024年“营收”超13亿美元,单笔最高3亿美元
AIL-framework:一款模块化信息泄露安全分析框架
热门npm包被植入加密挖矿软件,感染目标涉及中国
FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限
Palo Alto防火墙存在高危漏洞,触发无需交互和权限
VECTR:一款红蓝队测试活动跟踪与分析评估工具
HACKPROVE DISCORD匿名社区,限时开放!
CSDN挂马事件的安全警醒;平时如何应对钓鱼攻击| FB甲方群话题讨论
SEO 中毒:网络犯罪分子如何将搜索引擎变成陷阱
Blackdagger:一款针对DevSecOps的工作流自动化工具
9.9分的SQL注入漏洞,可获admin权限
特朗普网安政策重大转向:CISA收缩,减少监管
日本航空遭黑客攻击,大量航班延误
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉