利用API注入线程

最新推荐文章于 2023-09-11 14:00:00 发布
最新推荐文章于 2023-09-11 14:00:00 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 数据安全
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/liujiayu2/article/details/45667773
版权 
//提升进程访问权限 
bool enableDebugPriv()  
{  
    HANDLE hToken;  
    LUID sedebugnameValue;  
    TOKEN_PRIVILEGES tkp;  

    if (!OpenProcessToken(GetCurrentProcess(),   
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) {  
        return false;  
    }  
    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue)) {  
        CloseHandle(hToken);  
        return false;  
    }  
    tkp.PrivilegeCount = 1;  
    tkp.Privileges[0].Luid = sedebugnameValue;  
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;  
    if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)) {  
        CloseHandle(hToken);  
        return false;  
    }  
    return true;  
}  

struct ToRemoteProccess
{
    char title[256];
    char content[256];
    DWORD MsgBoxAddress;
};

////定义MessageBox类型的函数指针  
typedef void (__stdcall *Msgbox)(HWND hWnd,LPCTSTR title,LPCTSTR content,DWORD uType );
DWORD threadProc(LPVOID lParam)
{
//  //程序崩溃
//     MessageBox(NULL, "title", "content", MB_OK);
/*****************************************************************************************************
线程体修改完毕之后我们运行程序,将线程注入到宿主进程之中。不过此时会产生一个非法访问的错误。原
因就是线程体中的MessageBox(NULL, "title", "content", MB_OK);函数的第二和第三个参数所指向的字符串
是存在于当前进程的地址空间中,宿主进程中的线程访问该字符串"hello"就会出现访问内存非法的错误。
解决的方法就是将该字符串的内容也拷贝到宿主进程的地址空间中,而且连同MessageBox函数在User32.dll
中的地址也拷贝到宿主进程之中。                                                                    
*****************************************************************************************************/

    //正确执行
    ToRemoteProccess *tmpTRP = (ToRemoteProccess *)lParam;
    Msgbox tmpMsgbox;
    tmpMsgbox = (Msgbox)(tmpTRP->MsgBoxAddress);
    tmpMsgbox(0,tmpTRP->content,tmpTRP->title,0);

    //正确执行
//     __asm
//  {
//      mov eax,0x00401480
//      call eax
//  }

    return 0;
}

void CRemoteCallerDlg::OnButton1() 
{
    // TODO: Add your control notification handler code here

    //提升本程序的权限
    enableDebugPriv();

    //获得远程进程句柄
    HWND hWnd=::FindWindow(NULL,_T("BloodTest"));
    //目标进程ID
    DWORD dwProcessId;
    //目标线程ID
    DWORD dwThreadId;
    dwThreadId=::GetWindowThreadProcessId(hWnd,&dwProcessId);
    //目标进程句柄
    HANDLE HandlToRemoteProcess=::OpenProcess(PROCESS_ALL_ACCESS,false,dwProcessId);
    if(HandlToRemoteProcess == NULL)
    {
        AfxMessageBox(_T("OpenProcess失败"));
        return;
    }

    //申请线程函数内存
    const DWORD dwThreadSize = 4096;
    void* threadProcAddr=::VirtualAllocEx(HandlToRemoteProcess,0,dwThreadSize,MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if(threadProcAddr == NULL)
    {
        AfxMessageBox(_T("VirtualAllocEx失败"));
        return;
    }

    //将线程代码写入到远程进程
    DWORD NumberOfBytesWrittenOfProc;
    BOOL retWriteProcessMemory=::WriteProcessMemory(HandlToRemoteProcess,threadProcAddr,&threadProc, dwThreadSize, &NumberOfBytesWrittenOfProc);
    if(!retWriteProcessMemory)
    {
        AfxMessageBox(_T("WriteProcessMemory失败"));
        return;
    }

    //构造线程参数
    DWORD NumberOfBytesWrittenOfParam;
    ToRemoteProccess trp;
    ZeroMemory(&trp,sizeof(ToRemoteProccess));
    HMODULE hUser32 = LoadLibrary("User32.dll");
    trp.MsgBoxAddress = (DWORD)GetProcAddress(hUser32,"MessageBoxA");
    _sntprintf(trp.title,sizeof("title"),"%s","title");
    _sntprintf(trp.content,sizeof("content"),"%s","content");

    //申请参数空间
    ToRemoteProccess *pRemoteParamAddr = (ToRemoteProccess *)::VirtualAllocEx(HandlToRemoteProcess,0,sizeof(ToRemoteProccess),MEM_COMMIT,PAGE_READWRITE);
    if(pRemoteParamAddr == NULL)
    {
        AfxMessageBox(_T("VirtualAllocEx失败"));
        return;
    }
    //参数写进内存
    retWriteProcessMemory =::WriteProcessMemory(HandlToRemoteProcess,pRemoteParamAddr,&trp, sizeof(ToRemoteProccess), &NumberOfBytesWrittenOfParam);
    if(!retWriteProcessMemory)
    {
        AfxMessageBox(_T("WriteProcessMemory失败"));
        return;
    }

    //创建远程线程
    DWORD RemoteThreadId;
    HANDLE retRemoteThread=::CreateRemoteThread(HandlToRemoteProcess,NULL,0,(LPTHREAD_START_ROUTINE)threadProcAddr,(LPVOID)pRemoteParamAddr,0 ,&RemoteThreadId);
    if (retRemoteThread == NULL)
    {
        AfxMessageBox(_T("CreateRemoteThread失败"));
        return;
    }

    //清理
    VirtualFreeEx(HandlToRemoteProcess,threadProcAddr,dwThreadSize,MEM_RELEASE);
    VirtualFreeEx(HandlToRemoteProcess,pRemoteParamAddr,sizeof(ToRemoteProccess),MEM_RELEASE);

    FreeLibrary(hUser32);
    CloseHandle(HandlToRemoteProcess);

//////////////////////////////////////////////////////////////////////////
//     LPVOID VirtualAllocEx( 
//     HANDLE hProcess, 
//     LPVOID lpAddress, 
//     SIZE_T dwSize, 
//     DWORD flAllocationType, 
//     DWORD flProtect 
//     ); 
// 
//     hProcess:
//     申请内存所在的进程句柄。
//     lpAddress: 
//     保留页面的内存地址;一般用NULL自动分配 。
//     dwSize:
//     欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 
// 
//     flAllocationType 可取下列值:
//     MEM_COMMIT:为特定的页面区域分配内存中或磁盘的页面文件中的物理存储
//     MEM_PHYSICAL :分配物理内存(仅用于地址窗口扩展内存)
//     MEM_RESERVE:保留进程的虚拟地址空间,而不分配任何物理存储。保留页面可通过继续调用VirtualAlloc()而被占用
//     MEM_RESET :指明在内存中由参数lpAddress和dwSize指定的数据无效 
//     MEM_TOP_DOWN:在尽可能高的地址上分配内存(Windows 98忽略此标志)
//     MEM_WRITE_WATCH:必须与MEM_RESERVE一起指定,使系统跟踪那些被写入分配区域的页面(仅针对Windows 98)
// 
//     flProtect可取下列值:
//     PAGE_READONLY: 该区域为只读。如果应用程序试图访问区域中的页的时候,将会被拒绝访
//     PAGE_READWRITE 区域可被应用程序读写
//     PAGE_EXECUTE: 区域包含可被系统执行的代码。试图读写该区域的操作将被拒绝。
//     PAGE_EXECUTE_READ :区域包含可执行代码,应用程序可以读该区域。
//     PAGE_EXECUTE_READWRITE: 区域包含可执行代码,应用程序可以读写该区域。
//     PAGE_GUARD: 区域第一次被访问时进入一个STATUS_GUARD_PAGE异常,这个标志要和其他保护标志合并使用,表明区域被第一次访问的权限
//     PAGE_NOACCESS: 任何访问该区域的操作将被拒绝
//     PAGE_NOCACHE: RAM中的页映射到该区域时将不会被微处理器缓存(cached)
// 
//     注:PAGE_GUARD和PAGE_NOCHACHE标志可以和其他标志合并使用以进一步指定页的特征。PAGE_GUARD标志指定了一个防护页(guard page),即当一个页被提交时会因第一
//     次被访问而产生一个one-shot异常,接着取得指定的访问权限。PAGE_NOCACHE防止当它映射到虚拟页的时候被微处理器缓存。这个标志方便设备驱动使用直接内存访问方
//     式(DMA)来共享内存块。
// 
//     返回值:
//     执行成功就返回分配内存的首地址,不成功就是NULL。
//  
//     
//  BOOL WriteProcessMemory(
//    HANDLE hProcess,
//    LPVOID lpBaseAddress,
//    LPVOID lpBuffer,
//    DWORD nSize,
//    LPDWORD lpNumberOfBytesWritten
//  );
//    
//  参数:
//      hProcess:由OpenProcess返回的进程句柄。如参数传数据为 INVALID_HANDLE_VALUE 【即-1】目标进程为自身进程
//      lpBaseAddress:要写的内存首地址,再写入之前,此函数将先检查目标地址是否可用,并能容纳待写入的数据。
//      lpBuffer:指向要写的数据的指针。
//      nSize:要写入的字节数。
//      lpNumberOfBytesWritten:成功写入的数据的大小
//      
//  返回值:
//        非零值代表成功.
// 
//  HANDLE CreateRemoteThread(
//    HANDLE hProcess,
//    LPSECURITY_ATTRIBUTES lpThreadAttributes,
//    SIZE_T dwStackSize,
//    LPTHREAD_START_ROUTINE lpStartAddress,
//    LPVOID lpParameter,
//    DWORD dwCreationFlags,
//    LPDWORD lpThreadId
//  );
//  参数说明:
//    hProcess:目标进程的句柄
//    lpThreadAttributes:指向线程的安全描述结构体的指针,一般设置为NULL,表示使用默认的安全级别
//    dwStackSize:线程堆栈大小,一般设置为0,表示使用默认的大小,一般为1M
//    lpStartAddress:线程函数的地址
//    lpParameter:线程参数
//    dwCreationFlags:线程的创建方式
//    lpThreadId:输出参数,记录创建的远程线程的ID
//////////////////////////////////////////////////////////////////////////

}
H-KING
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DLL注入之远线程方式
04-20
使用插入到目标进程中的远程线程将该DLL插入到目标进程的地址空间,即利用线程通过调用Windows API LoadLibrary函数来加载DLL,从而实现获取目标进程空间的使用权。如下摘自ReactOS 3.14的代码所示,...
代码注入线程注入
Mi1k7ea
10-05 6952
代码注入概念 代码注入是一种向目标进程插入独立运行代码并使之运行的技术,其一般调用CreateRemoteThread() API以远程线程的形式运行插入的代码,亦称为线程注入。代码以线程过程(ThreadProcedure)形式插入,而代码中使用的数据则以线程参数的形式插入,即代码和数据是分别注入的。   代码注入与DLL注入的区别 DLL注入适用于代码量大且复杂的情况,而代码注入适用于...
5种典型 API 攻击及预防建议
ALLEN'Blog
03-20 641
任何设计和代码都难以避免错误,安全技术也是如此。有时软件的结构,哪怕是根据相应规范设计的,都可能有被滥用技术利用的风险。OWASP 这样定义软件 “滥用(abuse)”:创建误用和滥用案例以滥用或利用软件功能中控件的弱点来攻击应用程序。使用应用程序的滥用案例模型,作为识别直接或间接利用滥用场景的具体安全测试的媒介。简而言之,滥用案例模型在某种程度上是威胁建模。API 对于构建坚固且持续的通信桥梁至关重要,该桥梁使设备能够无缝传递所需信息。然而黑客采用多种方式来利用
Windows程序设计学习笔记——线程(三)线程注入
weixin_48088263的博客
07-31 1233
本文先介绍了C中的线程创建操作,再介绍了C++标准库的多线程操作,最后着重介绍了远程线程注入技术,远程线程注入就是在其他进程中创建我们的线程,我们的线程会把我们的dll载入到注入进程中,这便是远程线程注入技术,接着介绍了相关api,最后介绍了线程注入的相应步骤...
DLL注入
enjoy5512的博客
06-01 734
DLL注入远程进程
dll注入的代码
tix66的专栏
10-30 428
01 #include   02 #include   03 #include   04 #include   05    06 BOOL EnableDebugPriv(LPCTSTR name)  07 {   08     HANDLE h;  09     TOKEN_PRIVILEGES tp;  10     LUID id;  11
利用输入法注入DLL
05-19
场景1:制作火星文输入法外挂,原理是利用API HOOK拦截并修改输入法相关函 数,需要注入一个DLL到所有进程中,但是后来发现,在开启了瑞星的帐号保险箱后,用户 将不能在QQ中输入火星文。原因是瑞星保护了QQ进程,...
java写webapi源码-Logging:使用各种记录器框架和Microsoft.Extensions.Logging.ILogger接口的
06-18
java写webapi源码日志记录 此库包含使用各种记录器框架和Microsoft.Extensions.Logging.ILogger接口的 .NET Core 和 ASP.NET Core 日志记录的有用资源。 - 只是辅助方法 - 只是辅助方法 地位 从 1.0.5 版开始生产...
Detours Express源码(微软API HOOK库)
09-24
---- 本文将简介Detours的原理,Detours库函数的用法, 并利用Detours库函数在Windows NT上编写了一个程序,该程序能使有“调试程序”的用户权限的用户成为系统管理员,附录利用Detours库函数修改该程序使普通用户...
汪文君高并发编程实战视频资源全集
08-08
│ 高并发编程第一阶段17讲、Thread API综合实战,编写ThreadService实现暴力结束线程的综合实战.mp4 │ 高并发编程第一阶段18讲、数据同步的引入与Synchronized的简单介绍.mp4 │ 高并发编程第一阶段19讲、结合...
EnableDebugPrivilge(CString lpName, BOOL fEnable) 函数源码,提升进程操作权限。
shen_wei的专栏
07-08 3202
BOOL EnableDebugPrivilge(CString lpName, BOOL fEnable) { HANDLE hObject; LUID Luid; TOKEN_PRIVILEGES NewStatus; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGE
Python 渗透测试:利用SQLmap API接口进行批量的SQL注入检测.(SRC挖掘)
网络安全领域___专研者.
05-24 7119
Python 开发学习的意义: (1)学习相关安全工具原理. (2)掌握自定义工具及拓展开发解决实战中无工具或手工麻烦批量化等情况. (3)在二次开发 Bypass,日常任务,批量测试利用等方面均有帮助.
12-远程线程注入
https://www.yuque.com/onlyxiu-123com
03-19 574
远程线程注入
线程注入
Gavin_Fool的博客
06-24 662
在Android项目开发中用到的一个非常实用的处理业务的方法。记录一下,顺便大家可以一起学习一下。 目的:有多种业务,但是返回的数据格式和展示方式都一样。这样可以让多个线程实现同一个Runnable,在run()中去处理不同的业务。再将不同的线程注入到需要用到该线程的地方使用。下面以项目中应用场景举例。我们需要在手机端实时监测监督员和车辆的实时位置,并在地图上显示。那么获取数据的接口不同
一文读懂远程线程注入
最新发布
Karka_的博客
09-11 204
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
什么是远程线程注入
航行的土豆的博客
12-11 6729
远程线程注入 首先,要说明白远程线程注入,必须得弄明白什么是远程线程以及什么是注入! 远程线程 这里的远程指的是别的进程空间,大家应该都在自己代码中或多或少运用过多线程,这里给出常见的win32创建线程接口的使用,如下: 本地线程创建 1 、官方给的接口: HANDLE CreateThread( [in] LPSECURITY_ATTRIBUTES lpThreadAttributes, //安全描述符,一般填NULL [in] SIZE_T dwStac
API注入原理
铜板的专栏
11-06 3780
由于需要用到关于windows虚拟内存的管理、打破进程边界墙、向应用程序的进程空间中注入代码、pe(portable executable)文件格式和iat(输入地址表)等较底层的知识,所以我对涉及到的这些知识大概地做一个介绍。 先说windows虚拟内存的管理。windows9x给每一个进程分配了4gb的地址空间,对于nt来说,这个数字是2gb,系统保留了2gb到 4gb之间的地址空间禁止进程访
组合式API - 提供/注入
hat_show的博客
07-06 469
在组合式 API 中使用provide/inject。两者都只能在当前活动实例的setup()期间调用。 #设想场景 [我觉得和mixins很像] <!-- src/components/MyMap.vue --> <template> <MyMarker /> </template> <script> import MyMarker from './MyMarker.vue' export default { compon...
API安全之 - SQL 注入攻击
ws - 兮的博客空间
12-03 1277
一、什么是SQL注入 SQL注入利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的 作。 造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码 SQL注入防攻击手段 不要使用拼接SQL语句方式、最好使用预编译...
fastapi中创建线程
05-18
在 FastAPI 中创建线程可以使用 Python 的 `threading` 模块,具体步骤如下: 1. 导入 `threading` 模块 ```python import threading ``` 2. 定义一个函数作为线程的执行体 ```python def worker(): # 执行线程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值