msdtc.exe dll劫持
msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器。
msdtc.exe是一个并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器,删除要小心。
对应服务MSDTC,全称Distributed Transaction Coordinator,Windows系统默认启动该服务
文件位于
C:\Windows\System32\msdtc.exe
当Windows操作系统启动Microsoft分布式事务处理协调器(MSDTC)服务时,攻击便开始了,该服务可协调跨越多个资源管理器(例如数据库,消息队列和文件系统)的事务。当目标计算机加入域时,一旦MSDTC服务启动,它将搜索注册表。
当计算机加入域中,MSDTC服务启动时,会搜索注册表
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI
MSDTC服务中的MTxOCI组件搜索三个DLL:*oci.dll,SQLLib80.dll和xa80.dll。**Windows系统默认不包含oci.dll
我们将后门dll将其重命名为oci.dll,并将其放置在 %SystemRoot%\ system32 \中。oci.dll就绪,使用远程作业命令杀死MSDTC服务(taskkill /im msdtc.exe /f),从而导致MSDTC重新加载自身。但是,这一次它将查找并找到oci.dll。
这时候就会利于这个服务把我们的后门dll拉起来。
如果mstdc服务没有自动重启,我们可以利用命令进行重启
net start msdtc
为了获得system权限,可采用降权启动,使用命令:
以管理员身份运行命令提示符执行以下内容,可以将权限修改为管理员。
msdtc -install
MSDTC服务不是域环境特有,工作组环境下默认也会启动MSDTC服务
利用方法不仅适用于域环境,工作组环境也同样适用文章来源:https://www.toymoban.com/news/detail-440194.html
msdtc "服务默认没有被配置为在开机自启,因为启动类型被设置为 “手动”。配置服务在启动时自动启动将加载任意DLL,并在系统上创建持久性。文章来源地址https://www.toymoban.com/news/detail-440194.html
sc qc msdtc
sc config msdtc start= auto
到了这里,关于msdtc.exe dll劫持的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!