网站首页 > 技术教程 正文
关于Dent
Dent是一个可以创建基于COM的旁路机制的框架,该框架所生成的代码可以利用“Windows Defender高级威胁保护”(WDATP)的ASR规则中的安全漏洞来执行Shellcode,而不被检测到或屏蔽掉。在Windows系统中,ASR被设计成第一道防线,可以根据规则来检测一系列违反规则的行为或事件。这些规则侧重于端点上的特定行为指标,这些指标通常与攻击者的战术、技术或过程(TTP)相关。这些规则侧重于微软Office套件,因为这是一种在端点上建立远程攻击点的通用攻击向量。
许多基于规则的控制都集中在基于网络或基于流进程的行为指标上,这些指标比正常的业务操作要更好识别。而这些规则主要关注系统的初始危害或可能严重影响组织的技术,比如凭证泄露或勒索软件攻击等等。它们涵盖了大量常见的攻击面,并侧重于阻止用于危害资产的已知技术。
Dent可以利用几个漏洞绕过这些限制控制策略,并在目标终端上执行Payload而不被Windows Defender高级威胁保护WDATP传感器屏蔽或检测到。
工具安装
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/optiv/Dent.git接下来,使用下列命令构建项目代码:
go build Dent.go帮助信息
./Dent -h
________ __
\______ \ ____ _____/ |_
| | \_/ __ \ / \ __\
| | \ ___/| | \ |
/_______ /\___ >___| /__|
\/ \/ \/
(@Tyl0us)
"Call someone a hero long enough, and they'll believe it. They'll become it.
They have no choice. Let them call you a monster, and you become a monster."
Usage of ./Dent:
-C string
Name of the COM object.
-N string
Name of the XLL playload when it's writen to disk.
-O string
Name of the output file. (default "output.txt")
-P string
Path of the DLL for your COM object. (Either use \\ or '' around the path)
-U string
URL where the base64 encoded XLL payload is hosted.
-show
Display the script in the terminal.武器化开发
此框架旨在利用Microsoft Defender Advanced Threat Protection中的漏洞和不足,因为它实际上不会生成任何的Payload。为了生成Payload,我们可以使用其他的一些工具,本框架所有的Payload和其他组件都是基于ScareCrow生成和实现的。
ScareCrow武器化-伪造COM对象模式
如需使用一个ScareCrow Payload并执行绕过的话,可以使用下列命令:
./ScareCrow -I <path to your raw stageless shellcode> -domain <domain name> -Loader dllScareCrow武器化-远程.XLL Payload模式
如需使用一个ScareCrow Payload并执行绕过的话,可以使用下列命令:
./ScareCrow -I <path to your raw stageless shellcode> -domain <domain name> -Loader dll生成之后,从输出文件中复制第13和第14行,混合之后,确保移除下列内容:
var <variable name>
每一行结尾的“;”符号
每个字符串前后的引号
项目地址
Dent:https://github.com/optiv/Dent
- 上一篇: 点击其它软件按钮及对话框
- 下一篇: 微软计划于 2024 年下半年逐步弃用 VBScript
猜你喜欢
- 2024-11-18 WLK怀旧服WA:猎人核心输出技能循环
- 2024-11-18 微软计划于 2024 年下半年逐步弃用 VBScript
- 2024-11-18 点击其它软件按钮及对话框
- 2024-11-18 众里资讯——黑客用改造版的Excel XLL档散步窃密软件
- 2024-11-18 APT黑客转向恶意 Excel 加载项作为初始入侵向量
- 2024-11-18 javascript实现获取中文汉字拼音首字母
- 2024-11-18 如何在Excel中使用自定义函数?
- 2024-11-18 攻击技术研判|XLL技术破局,在野文档钓鱼或将进入新阶段
- 2024-11-18 JSA宏教程WPS表格常用内置对象——应用程序(Application)对象
- 2024-11-18 XLL_Phishing:一款功能强大的XLL网络钓鱼研究工具
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- sd分区 (65)
- raid5数据恢复 (81)
- 地址转换 (73)
- 手机存储卡根目录 (55)
- tcp端口 (74)
- project server (59)
- 双击ctrl (55)
- 鼠标 单击变双击 (67)
- debugview (59)
- 字符动画 (65)
- flushdns (57)
- ps复制快捷键 (57)
- 清除系统垃圾代码 (58)
- web服务器的架设 (67)
- 16进制转换 (69)
- xclient (55)
- ps源文件 (67)
- filezilla server (59)
- 句柄无效 (56)
- word页眉页脚设置 (59)
- ansys实例 (56)
- 6 1 3固件 (59)
- sqlserver2000挂起 (59)
- vm虚拟主机 (55)
- config (61)
本文暂时没有评论,来添加一个吧(●'◡'●)