[web安全]深入理解反射式dll注入技术

最新推荐文章于 2023-06-15 22:58:43 发布
VIP文章 最新推荐文章于 2023-06-15 22:58:43 发布
阅读量2k 收藏 5
点赞数 1
分类专栏: 渗透测试 漏洞 安全 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/123690507
版权

一、前言

dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。

常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安全产品检测到。为了弥补这个缺陷,stephen fewer提出了反射式dll注入技术并在github开源,反射式dll注入技术的优势在于可以使得恶意的dll通过socket等方式直接传输到目标进程内存并加载,期间无任何文件落地,安全产品的检测难度大大增加。

本文将从dll注入技术简介、msf migrate模块剖析、检测思路和攻防对抗的思考等方向展开说明反射式dll注入技术。

二、dll注入技术简介

2.1 常规dll注入技术

常规dll注入有:

  1. 通过调用CreateRemoteThread()/NtCreateThread()/RtlCreateUserThread()函数在被注入进程创建线程进行dll注入。
  2. 通过调用QueueUserAPC()/SetThreadContext()函数来劫持被注入进程已存在的线程加载dll。
  3. 通过调用SetWindowsHookEx()函数来设置拦截事件,在发生对应的事件时,被注入进程执行拦截事件函数加载dll。

以使用CreateRemoteThread()函数进行dll注入的方式为例,实现思路如下:

  1. 获取被注入进程PID。
  2. 在注入进程的访问令牌中开启SE_DEBUG_NAME权限。
  3. 使用openOpenProcess()函数获取被注入进程句柄。
  4. 使用VirtualAllocEx()函数在被注入进程内开辟缓冲区并使用WriteProcessMemory()函数写入DLL路径的字符串。
  5. 使用GetProcAddress()函数在当前进程加载的kernel32.dll找到LoadLibraryA函数的地址。
  6. 通过CreateRemoteThread()函数来调用LoadLibraryA()函数,在被注入进程新启动一个线程,使得被注入进程进程加载恶意的DLL。

常规dll注入示意图如上图所示。该图直接从步骤3)开始,步骤1)和步骤2)不在赘述。

【→所有资源关注我,私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

2.2 反射式dll注入技术

反射式dll注入与常规dll注入类似,而不同的地方在于反射式dll注入技术自己实现了一个reflective loader()函数来代替LoadLibaryA()函数去加载dll,示意图如下图所示。蓝色的线表示与用常规dll注入相同的步骤,红框中的是reflective loader()函数行为,也是下面重点描述的地方。

Reflective loader实现思路如下:

  1. 获得被注入进程未解析的dll的基地址,即下图第7步所指的dll。
  2. 获得必要的dll句柄和函数为修复导入表做准备。
  3. 分配一块新内存去取解析dll,并把pe头复制到新内存中和将各节复制到新内存中。
  4. 修复导入表和重定向表。
  5. 执行DllMain()函数。

三、Msf migrate模块剖析

msf的migrate模块是post阶段的一个模块,其作用是将meterpreter payload从当前进程迁移到指定进程。

在获得meterpreter session后可以直接使用migrate命令迁移进程,其效果如下图所示:

migrate的模块的实现和stephen fewer的ReflectiveDLLInjection项目大致相同,增加了一些细节,其实现原理如下:

  1. 读取metsrv.dll(metpreter payload模板dll)文件到内存中。
  2. 生成最终的payload。a) msf生成一小段汇编migrate stub主要用于建立socket连接。b) 将metsrv.dll的dos头修改为一小段汇编meterpreter_loader主要用于调用reflective loader函数和dllmain函数。在metsrv.dll的config block区填充meterpreter建立session时的配置信息。c) 最后将migrate stub和修改后的metsrv.dll拼接在一起生成最终的payload。
  3. 向msf server发送migrate请求和payload。
  4. msf向迁移目标进程分配一块内存并写入payload。
  5. msf首先会创建的远程线程执行migrate stub,如果失败了,就会尝试用apc注入的方式执行migrate stub。migrate stub会调用meterpreter loader,meterpreter loader才会调用reflective loader。
  6. reflective loader进行反射式dll注入。
  7. 最后msf client和msf server建立一个新的session。

原理图如下所示:

图中红色的线表示与常规反射式dll注入不同的地方。红色的填充表示修改内容,绿色的填充表示增加内容。migrate模块的reflective loader是直接复用了stephen fewer的ReflectiveDLLInjection项目的Refle

最低0.47元/天 解锁文章
IT老涵
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Doge-sRDI:Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-...
以xss-labs举例反射型xss注入的方式及基本思路
五分之一世纪
03-14 900
<1>XSS的分类 1.反射型 2.dom型 3.存储型 反射型解析:反射型的数据走向是 客户端->服务器->客户端,XSS-LABS中全是这种类型的,或者也可以说是dom型的,客户端根据html网页源码,判断注入漏洞,不调用html中的js代码是反射型,而dom型则是直接调用网页源码中的js代码。 dom型解析:dom型的数据走向是 URL->浏览器。 存储型解析:存储型的数据走向是 客户端->服务器->数据库->服务器->客户端,比如有些网站有评
用户层注入:(5)反射注入
weixin_43972499的博客
03-15 661
目录反射的概念反射注入过程 注入程序 导出函数参考代码 注入程序 导出函数 反射的概念   前几篇文章提到了远程线程注入、注册表注入、APC注入注入方法,这些方法都有一个共同的问题,那么就是需要目标进程所在的计算机上存在对应的Dll文件,否则我们的注入程序调用LoadLibrary函数无法加载。即如果我们想跨计算机注入目标进程,就要将注入程序exe和动态库文件dll打包放到一个文件夹里并发送到目标计算机,但是一旦文件被接收,我们的dll文件就"落地"了,因此就会很容易被常规的杀毒软件检测并查杀。所以,我们
XSS注入——反射性XSS
wwwwyyyrre的博客
06-15 2194
所以就可以利用这个函数来构造payload,也是最简单的xss脚本语言:这样就可以绕过了 没有任何的限制 就是一个简单的反射型xss注入等明天搭一个本地的靶场来做xss-labs我认为不是很难,反射型xss。
XSS注入进阶练习篇(一)XSS-LABS通关教程
好好睡觉
02-18 3046
XSS注入靶场、XSS-LABS通关教程
【ReflectDllInjection】 反射型DLL注入
dr0op's blog
04-06 3034
常规dll注入 这里引用一张图来表示: 反射型DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射型dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
反射式dll注入
摔不死的笨鸟的博客
08-27 6234
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射式注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
DLL 注入 —— 反射式注入(内存手动映射)
LYSM
07-19 2893
介绍 反射式注入 dll ,不会调用 LoadLibrary 这个 API,因此也无法使用 CreateToolhelp32Snapshot 遍历到这个模块。同时也不需要 DLL 留在磁盘上(可以通过网络下发,或加密后存放在磁盘),因此这种注入方式更加隐蔽。 原理 总的来说,就是我们要重新实现一遍 LoadLibrary 这个 API ????: 假设现在我们已经使用 ReadFile 拿到了 DLL 的所有内容 之后我们需要调用 VirtualAlloc 在目标进程中申请一块内存用来存放这个 DLL
反射式dll注入(ReflectiveDLLInjection)
随心动,随风行
04-30 3632
学习基于stephenfewer大佬的项目:ReflectiveDLLInjection 有兴趣的同学可以下载研究
C/C++ DLL反射式注入内存手动映射
CSDN
07-16 7594
首先计算得到基地址的偏移量,也就是实际的 DLL 加载地址减去 DLL 的推荐加载地址(保存在 NT可选头的 ImageBase 中,实际 DLL 加载地址是我们调用 VirtualAlloc()的返回值。首先使用 _ReturnAddress() 获取当前函数的返回地址,因为调用这个函数是在 ReflectiveLoader 的内部,因此从这个地址向上遍历,找 0x4d ,0x5a 就可以定位到 DLL 的 PE 文件头所在的虚拟地址 (o゚v゚)ノ。将 DLL 的 PE文件头和各个节复制到对应的位置。
利用反射通过注解实现注入(二)
辉少的博客
03-18 175
@Retention(RetentionPolicy.RUNTIME) @Target(ElementType.FIELD) @Inherited @Documented public @interface Autowired { } public class Userservice { } public class UserController { @Autowired private Userservice userservice; public Userser.
Phage:反射式DLL注入式过程感染器
04-29
PoC过程感染者使用反射性DLL注入样式感染另一个进程。 受到我以前的项目Lynx启发。 而不是注入DLL,而是注入可执行文件本身。
java学习资料-反射机制深入理解剖析
06-16
java学习资料—反射机制深入理解剖析;java学习资料—反射机制深入理解剖析;java学习资料—反射机制深入理解剖析;java学习资料—反射机制深入理解剖析;java学习资料—反射机制深入理解剖析;
Windows 反射式注入DLL
12-13
Windows 反射式注入DLL Windows 反射式注入DLL Windows 反射式注入DLL
Web应用安全:反射型XSS.pptx
06-18
那是因为这种攻击方式的注入代码是从目标服务器通过错误信息,搜索结果等方式反射回来的,这种攻击方式只有一次性。 反射型XSS大多数是用来盗取用户的Cookie信息 特点是非持久化,也不存入网站服务器中,web后端漏洞...
spring注入----反射模式
datouniao1的博客
12-08 534
Spring框架也是刚刚接触,什么IOC控制反转啊,不太清楚,就连一个配置文件都搞的很是糊涂 先说说我遇到的问题吧。最近在看Spring+rabbitmq但是rabbit一个生成者总是配不好,看到网上各种生产者的配置,抄袭这家,看看那一篇文章,很是混乱。感觉要么就是对方写的过于深刻,要么就是我不了解博主的心啊。 今天我们我们在程序中有通过配置文件注入获取到一个bean ,那么如何获取到一个be...
reflective dll injection 反射注入
hambaga的博客
02-20 1433
一、reflective dll injection 反射注入介绍 网上对反射注入的定义是只通过内存把DLL注入到特定进程中,也就是说整个过程都不涉及文件操作。 优点 规避杀软基于文件系统的检测 不会在进程的DLL链表里留下记录 通过特殊处理,可以使用正常的方式编写DLL,实现shellcode的效果 缺点 DLL体积较大,相比于shellcode注入,更容易被检测 二、修改dos头,填入精心构造的 bootstrap shellcode metasploit 实现的bootstrap
反射Dll注入
dre4merp
05-17 813
上一篇我们介绍了CreateRemoteThread+LoadLibrary进行注入的技巧。但是这种方法实在是太过格式化,所以几乎所有的安全软件都会监控这种方法。所以HarmanySecurity的Stephen Fewer提出了ReflectiveDLL Injection,也就是反射DLL注入。 其和CreateRemoteThread一样也是分为两部分,注入器和注入DLL。但是注入DLL的装载由我们自主实现,由于反射式注入方式并没有通过LoadLibrary等API来完成DLL的装载,DLL并没有
PE加载与反射式注入
qq_41861225的博客
02-01 837
一、PE加载 在PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载器,其基本流程可以分为以下几点: 将PE文件从磁盘中读出 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0 将读取数据映射到内存中 修复导出导入入表 修复重定位 跳转到PE入口点进行执行 相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...
使用c语言编写一个反射式 dll 注入的程序,并附带一个dll的模板
最新发布
07-09
当涉及到 DLL 注入反射式注入方法时可以使用 C 语言编写一个程序来实现。下是一个示例程序,它演示了如何使用反射式注入DLL 注入到目标进程中: ```c #include <stdio.h> #include <windows.h> // 反射注入 DLL 的函数 BOOL ReflectiveDllInjection(LPVOID lpDllBuffer) { // 获取当前进程的基址 HMODULE hModule = GetModuleHandle(NULL); // 获取当前进程的 DOS 头 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; // 获取当前进程的 NT 头 PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD_PTR)hModule + pDosHeader->e_lfanew); // 获取当前进程的映像基址 LPVOID pImageBase = (LPVOID)pNtHeaders->OptionalHeader.ImageBase; // 获取当前进程的入口点函数地址 LPVOID pEntryPoint = (LPVOID)((DWORD_PTR)pImageBase + pNtHeaders->OptionalHeader.AddressOfEntryPoint); // 为反射注入分配内存 LPVOID pRemoteImageBase = VirtualAllocEx(GetCurrentProcess(), NULL, pNtHeaders->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); // 将当前进程的映像基址复制到目标进程中 WriteProcessMemory(GetCurrentProcess(), pRemoteImageBase, pImageBase, pNtHeaders->OptionalHeader.SizeOfImage, NULL); // 将 DLL 缓冲区写入到目标进程中 WriteProcessMemory(GetCurrentProcess(), (LPVOID)((DWORD_PTR)pRemoteImageBase + ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.ImageBase), lpDllBuffer, ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.SizeOfImage, NULL); // 更新目标进程的导入表 PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD_PTR)pRemoteImageBase + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); while (pImportDesc->Name != 0) { HMODULE hDll = LoadLibraryA((LPCSTR)((DWORD_PTR)pRemoteImageBase + pImportDesc->Name)); PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((DWORD_PTR)pRemoteImageBase + pImportDesc->FirstThunk); while (pThunk->u1.Function != 0) { DWORD_PTR pFunc = (DWORD_PTR)GetProcAddress(hDll, (LPCSTR)pThunk->u1.Function); WriteProcessMemory(GetCurrentProcess(), &pThunk->u1.Function, &pFunc, sizeof(DWORD_PTR), NULL); pThunk++; } pImportDesc++; } // 创建远程线程来运行目标进程的入口点函数 HANDLE hThread = CreateRemoteThread(GetCurrentProcess(), NULL, 0, (LPTHREAD_START_ROUTINE)pEntryPoint, pRemoteImageBase, 0, NULL); if (hThread == NULL) { return FALSE; } WaitForSingleObject(hThread, INFINITE); // 清理内存 VirtualFreeEx(GetCurrentProcess(), pRemoteImageBase, 0, MEM_RELEASE); return TRUE; } int main() { // 读取 DLL 文件 FILE* fp = fopen("dll_template.dll", "rb"); if (fp == NULL) { printf("无法打开 DLL 文件!\n"); return 1; } // 获取 DLL 文件的大小 fseek(fp, 0, SEEK_END); long fileSize = ftell(fp); fseek(fp, 0, SEEK_SET); // 分配内存来存储 DLL 文件数据 LPVOID lpDllBuffer = malloc(fileSize); // 读取 DLL 文件数据到内存中 fread(lpDllBuffer, fileSize, 1, fp); // 关闭文件 fclose(fp); // 执行反射式注入 if (ReflectiveDllInjection(lpDllBuffer)) { printf("DLL 注入成功!\n"); } else { printf("DLL 注入失败!\n"); } // 释放内存 free(lpDllBuffer); return 0; } ``` 上述示例程序中,你需要将要注入DLL 文件命名为 "dll_template.dll",并与程序放在同一目录下。然后编译并运行程序,它将尝试将该 DLL 注入到目标进程中。 请注意,反射式注入的程序需要具有管理员权限才能成功运行。此外,反射注入可能会受到一些安全软件的检测,因为它使用了一些与恶意软件类似的技术。 希望这个示例程序能帮助到你!如有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值