前言:

按照慣例,到公司打開rss來看最新咨詢,發(fā)現(xiàn)subTee新發(fā)了一個(gè)文章, 利用ODBCCONF.EXE加載dll來執(zhí)行,不用注入的方式,直接加載運(yùn)行,類似netsh加載dll,不過netsh很多軟件都會用到,這樣的話就netsh可以留個(gè)持久性的后門,但是ODBCCONF.EXE就不一樣了,他并不是自啟的,只能說用他來繞過一些白名單檢測設(shè)備。

我本地進(jìn)行了一次測試,把具體過程還原下。

簡介:

ODBCCONF.exe是一個(gè)命令行工具，它允許您配置ODBC驅(qū)動程序和數(shù)據(jù)源名稱,可能在以后的版本會刪除,可以使用PowerShell命令來管理驅(qū)動程序和數(shù)據(jù)源。

看了ODBCCONF的文檔,我們可以發(fā)現(xiàn)有兩種方式來加載dll,/A和/F,所以，我們可以加載一個(gè)任意的dll,如

odbcconf.exe / A {REGSVR evil.dll}

odbcconf.exe /?F odbcconf.config(經(jīng)測試 后綴名可以隨意)

用法:

poc源碼:https://gist.github.com/NickTyrer/6ef02ce3fd623483137b45f65017352b

需要添加NuGet Gallery

步驟:VS--》Tools--》

我使用/f 參數(shù)

odbcconf.exe /?F odbcconf.sb(這個(gè)代碼內(nèi)容是加載odbcconf-x64.dll)

odbcconf-x64.dll中主要是創(chuàng)建一個(gè)交互式的PowerShell。

總結(jié):