什么样的程序才能称之为LOLBins?
- 可以是带有Microsoft签名的二进制文件,也可以是Microsoft系统目录中的二进制文件。
- 可以是第三方认证签名的程序。
- 具有对APT或红队有用的功能。
- 该程序除正常的功能之外,还可以做意料之外的行为(如恶意代码执行,UAC绕过)
LOLBins常见的利用
Cmd.exe
Powershell.exe
Rundll32.exe
Wmic.exe
WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),执行“wmic”命令启动WMIC命令行环境。这个命令可以在XP或 .NET Server的标准命令行解释器(cmd.exe)、Telnet会话或“运行”对话框中执行。这些启动方法可以在本地使用,也可以通过.NET Server终端服务会话使用。
Mshta.exe
文全称Microsoft HTML Application,可翻译为微软超文本标记语言应用。
Cscript.exe
Windows Script Host引擎,用于加载wsf,.vbs,.js等脚本。
Regsvr32.exe
用于注册COM组件,是 Windows 系统提供的用来向系统注册控件或者卸载控件的命令。
Cerutil.exe
可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能。程序有一特性是能够从远程URL下载证书或任何其他文件。
Msiexec.exe
系统进程,是Windows Installer的一部分。用于安装Windows Installer安装包(MSI)。
Installutil.exe
安装程序工具是一个命令行实用工具,你可以通过此工具执行指定程序集中的安装程序组件,从而安装和卸载服务器资源。程序将会寻找卸载程序中的InstallUtil()函数,进行调用。
MSBuild.exe
生成项目或解决方案文件。程序运行将会寻找该项目文件中指定的TaskName名称中对应的程序的Execute()函数,进行调用。
Write.exe
系统写字板程序,程序加载需调用PROPSYS.dll中的PSCreateMemoryPropertyStore()函数,同时也加载config配置文件。
Rekeywiz.exe
加密文件系统证书管理向导程序,程序加载需调用mpr.dll。
第三方认证签名文件利用
WeChat.exe
微信主程序,需调用WeChatWin.dll运行。