打開文件夾就能運(yùn)行指定的程序?這不是天方夜譚，而是在現(xiàn)實(shí)世界中確實(shí)存在的。利用本文探討的COM劫持技術(shù)，可以輕松實(shí)現(xiàn)出打開文件夾就運(yùn)行指定代碼的功能。對(duì)于COM劫持技術(shù)，國(guó)內(nèi)很少有資料進(jìn)行原理闡述，本文結(jié)合自身分析經(jīng)驗(yàn)對(duì)COM劫持技術(shù)進(jìn)行歸納總結(jié)。同時(shí)，希望各大安全廠商針對(duì)此類利用做好防護(hù)，保護(hù)用戶信息安全。

前言

所謂“罵人先罵娘，擒賊先擒王”，首先給出讀者最最關(guān)心的劫持文件夾的利用方法的效果展示：

為了理解本文內(nèi)容，我們首先要了解COM的一些基本的概念：

接口：一組函數(shù)的總稱，這些函數(shù)也被稱為”方法”，通常情況下，接口的名稱都是以“I”開關(guān)，例如：”IShellFolder”.接口可以繼承。

Component object class(coclass)：也就是組件，組件包含在一個(gè)DLL或者exe文件中，它包含了一個(gè)或多個(gè)接口的實(shí)現(xiàn)代碼。組件實(shí)現(xiàn)了它包含的所有接口。

COM object：是組件的一個(gè)實(shí)例。

COM server：一個(gè)dll或者exe文件，包含了一個(gè)或者多個(gè)組件。

COM library：是操作系統(tǒng)的一部分，負(fù)責(zé)響應(yīng)用戶程序。

GUID：唯一的、128位的標(biāo)識(shí)對(duì)象的標(biāo)識(shí). 全局唯一標(biāo)識(shí)符，是唯一的一個(gè)ID，類似于物理網(wǎng)址那樣。

CLSID：class id，唯一的標(biāo)識(shí)組件。

IID：interface id，用來標(biāo)識(shí)接口。

此外，對(duì)于windows操作系統(tǒng)，存在著虛擬文件夾，控制面板，我的電腦等都是系統(tǒng)中的虛擬文件夾。這種虛擬文件夾在注冊(cè)表中都會(huì)有一個(gè)CLSID與之對(duì)應(yīng)，例如，我的電腦對(duì)應(yīng)的CLSID是{20D04FE0-3AEA-1069-A2D8-08002B30309D}，控制面板的CLSID是{21EC2020-3AEA-1069-A2DD-08002B30309D}。

那么怎樣可以看到這些虛擬文件夾呢?以“我的電腦”虛擬文件夾為例，在開始–運(yùn)行中輸入”:: {20D04FE0-3AEA-1069-A2D8-08002B30309D”就可以打開我的電腦。但需要注意的是，在WIN7下，輸入::{21EC2020-3AEA-1069-A2DD-08002B30309D}可以打開控制面板，但在xp系統(tǒng)下，打開控制面板需要輸入的命令為：”::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}”。

利用方法

作為演示，我們執(zhí)行代碼的功能為，彈出一個(gè)類似與下圖的對(duì)話框，其中顯示出了調(diào)用這個(gè)DLL的進(jìn)程路徑及PID信息。

把大象裝進(jìn)冰箱里需要三步，我們的利用也分為三步：

1.精選CLSID，盡量選擇系統(tǒng)應(yīng)用范圍廣的CLSID，這樣的模塊可以保證系統(tǒng)在進(jìn)行很多功能時(shí)都會(huì)加載dll。我們選擇的CLSID為：{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}，其對(duì)應(yīng)著CAccPropServicesClass類。

修改注冊(cè)表，將CLSID對(duì)應(yīng)的DLL文件修改成實(shí)現(xiàn)了某些待定功能的文件(這個(gè)文件是由我們精心構(gòu)造的，不然無法利用成功)。

可通過將下列數(shù)據(jù)導(dǎo)入到注冊(cè)表實(shí)現(xiàn)

1. Windows RegistryEditor Version 5.00  
2. [HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}] 
3. [HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32] 
4. @="freebuf.dll" 
5. "ThreadingModel"="Apartment" 

2. 新建文件夾，以CLSID做為后綴名，同時(shí)將我們的利用dll拷貝到系統(tǒng)目錄下:

這里的文件名可以充分發(fā)揮想象力(騙術(shù))，利用社會(huì)工程學(xué)，起個(gè)誘惑的文件夾名，比如，目標(biāo)喜歡日本姑娘，文件夾就叫做” 小澤にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}”

3. 打開文件夾，成功利用

利用的步驟很簡(jiǎn)單，其中最為關(guān)鍵是我們實(shí)現(xiàn)代碼的dll以及CLSID的選擇，這不是一個(gè)普通的dll，而是dll中的”戰(zhàn)斗dll”，這是一個(gè)實(shí)現(xiàn)了COM接口的dll,并且在dll的導(dǎo)出函數(shù)的返回值有特殊要求。具體可以參見文末附件中的代碼。

背后的故事

通過上面的圖，可以看出，我們的DLL實(shí)際上是由verclsid.exe加載的。而verclsid.exe是通過shell32.dll中的函數(shù)調(diào)用起來的。在shell32.dll中SHExtCoCreateInstance函數(shù)成功調(diào)用后，verclsid.exe才會(huì)被加載。

而SHExtCoCreateInstance只是對(duì)_SHExtCoCreateInstance2的封裝

而通過ida看到_SHExtCoCreateInstance2調(diào)用了_ShouldLoadShellExt，所有_ShouldLoadShellExt成功返回(返回非0值)，才能加載verclsid.exe.

_ShouldLoadShellExt在對(duì)注冊(cè)表Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked和Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved進(jìn)行判斷后，調(diào)用了_QueryClassInterface，而要求_QueryClassInterface返回一個(gè)非0值，就只能是下圖中的 v17=ExitCode==0代碼的地方。

綜全上面的過程，要想成功利用，只要使CreateProcessW函數(shù)調(diào)用verclsid.exe結(jié)束時(shí)的exitcode等于0。

對(duì)verclsid.exe分析

調(diào)用verclsid.exe傳遞的參數(shù)有：

/S：隨后調(diào)用OLE32!CoInitializeEx函數(shù)時(shí)的參數(shù);

/C ： CLSID;

/I ：Interface id;

/X：調(diào)用OLE32!CoCreateInstance函數(shù)時(shí)所需要的參數(shù)值;

隨后，通過下面的函數(shù)調(diào)用com組件

調(diào)用OLE32!CoCreateInstance

調(diào)用ppv->QueryInterface

隨后會(huì)調(diào)用

ppv->Release()

CoUninitialize()

然后，函數(shù)就正常返回，當(dāng)函數(shù)正常返回時(shí)，verclsid.exe的exitcode等于0。這就保證了我們的dll能夠被加載成功。

所以，我們只需要寫一個(gè)COM服務(wù)dll，使verclsid.exe調(diào)用這個(gè)服務(wù)dll的接口時(shí)，返回S_OK就OK了。具體關(guān)于COM服務(wù)dll的編寫，請(qǐng)參考附件鏈接。

附件下載：鏈接：http://pan.baidu.com/s/1ckPWDo 密碼：pniu

總結(jié)

 這種COM劫持技術(shù)最大的優(yōu)點(diǎn)在于，不需要進(jìn)行動(dòng)態(tài)的dll注入等操作，可以繞開主動(dòng)防御，此外，這種利用的加載進(jìn)行為操作系統(tǒng)的verclsid.exe，宿主進(jìn)程是天生的白進(jìn)程，也可以繞開白名單機(jī)制。而且劫持dll的加載是由系統(tǒng)底層機(jī)制決定的。另外，這種技術(shù)很可能被用于網(wǎng)絡(luò)黑產(chǎn)，這也要求安全廠商提高對(duì)這種劫持行為的識(shí)別與檢測(cè)。