rundll32 使用和无文件攻击的一些示例

rundll32

加载并运行32位动态链接库 (Dll) 。没有适用于 Rundll32.exe 的可配置设置。为使用 rundll32.exe 命令运行的特定 DLL 提供了帮助信息。

必须从提升的命令提示符运行 rundll32.exe 命令。若要打开提升的命令提示符，请单击 " 开始"，右键单击 " 命令提示符"，然后单击 "以 管理员身份运行"。

语法

rundll32 <DLLname>

参数

参数	说明
Rundll32.exe printui.dll，PrintUIEntry	显示打印机用户界面。

注解

Rundll32.exe 只能从显式编写的 DLL 调用函数，以由 Rundll32.exe 调用。

攻击案例：

https://zhuanlan.zhihu.com/p/451532819

恶意文件示例：

https://any.run/report/d3bb148224cfec7d4487b7d9ce1d74ab9b67f3354afa9367c9aa050f4aabc117/4512f557-ae0d-4b8c-95e1-c8c7a58dd5ae

payload：

"C:\Windows\System32\rundll32.exe" "C:\Users\admin\Desktop\6LwTlnmRwRA9milh9.bin.exe", Control_RunDLL

https://any.run/report/8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61/e8ca24ff-3766-43fd-a7e6-9ac7254791a7

payload：

"C:\Windows\System32\rundll32.exe" "C:\Users\admin\AppData\Local\Temp\emotet_exe_e4_8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61_2022-03-17__084608.exe", DllRegisterServer

https://any.run/report/6adf75ae4502208cb1d295a95bc3f7263b14a2568c0108554e7ea30cec2fa1c2/f1d9aabb-45b6-4221-8a50-e060633f23c9

payload：

"C:\Windows\System32\rundll32.exe" "C:\Users\admin\AppData\Local\Temp\88e6dde5e03da6a889feae1525551ab2.exe", DllRegisterServer

posted @ 2022-03-20 17:18 bonelee 阅读(543) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

将者，智、信、仁、勇、严也。

Hi，我是李智华，华为-安全AI算法专家，欢迎来到安全攻防对抗的有趣世界。

rundll32 使用和无文件攻击的一些示例

rundll32

语法

参数

注解

公告