前言:
按照惯例,到公司打开rss来看最新咨询,发现subTee新发了一个文章, 利用ODBCCONF.EXE加载dll来执行,不用注入的方式,直接加载运行,类似netsh加载dll,不过netsh很多软件都会用到,这样的话就netsh可以留个持久性的后门,但是ODBCCONF.EXE就不一样了,他并不是自启的,只能说用他来绕过一些白名单检测设备。
我本地进行了一次测试,把具体过程还原下。
简介:
ODBCCONF.exe是一个命令行工具,它允许您配置ODBC驱动程序和数据源名称,可能在以后的版本会删除,可以使用PowerShell命令来管理驱动程序和数据源。
看了ODBCCONF的文档,我们可以发现有两种方式来加载dll,/A和/F,所以,我们可以加载一个任意的dll,如
odbcconf.exe / A {REGSVR evil.dll}
odbcconf.exe /˚F odbcconf.config(经测试 后缀名可以随意)
用法:
poc源码:https://gist.github.com/NickTyrer/6ef02ce3fd623483137b45f65017352b
需要添加NuGet Gallery
步骤:VS--》Tools--》
我使用/f 参数
odbcconf.exe /˚F odbcconf.sb(这个代码内容是加载odbcconf-x64.dll)
odbcconf-x64.dll中主要是创建一个交互式的PowerShell。
