DLL劫持漏洞与思考

最新推荐文章于 2024-08-14 12:37:07 发布
最新推荐文章于 2024-08-14 12:37:07 发布
阅读量533 收藏 2
点赞数 1
分类专栏: 安全漏洞 文章标签: windows php java 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklbnm12/article/details/120203213
版权
本文详细介绍了DLL劫持漏洞的工作原理,通过使用Sysinternals的Procmon和逆向工程工具Ghidra来识别可劫持的DLL及入口点。通过创建恶意DLL并将其放在目标应用程序的可写目录中,实现对程序的控制。讨论了多个入口点函数的处理方法,并提出了一些缓解措施,如使用安全的DLL搜索模式和应用白名单。
摘要由CSDN通过智能技术生成

DLL劫持顾名思义,是去执行一个外部库(dll)的代码,而不是执行一个可移植的可执行 PE文件。通过DLL的搜索顺序,可以将代码植入二进制程序让易受攻击的应用程序加载并执行。这不是一个新提出的攻击方法,但有什么更好的方法可以通过NSA最新发布的工具Ghidra找到dll劫持代码吗?

我在这篇文章中将会相当深入地介绍DLL劫持,但首先有一些基本的概念需要了解一下。

使用Procmon,打开目标PE,识别试图从可写路径加载的DLLs文件名。

使用Ghidra识别所述DLL的入口点。

创建入口点是你的有效载荷的DLL。

对编译后的DLL进行重命名,并加入可写目录。

执行存在劫持突破的exe程序。

首先我们需要安装下列程序:

Sysinternals套件

Ghidra- 如果尚未安装,需要Java 11

Visual Studio CE

腻子 0.65-需要劫持的应用程序

tftpd32 v3.50-将被劫持的应用程序

测试DLL劫持的应用有很多,但这些应用都很简单,而且在我遇到的一些文章中都有记录。如果需要深入研究每个例子,一定要查看更多代码。Sysinternals还包含少量的二进制文件,如果你愿意的话,

最低0.47元/天 解锁文章
网安溦寀
关注
专栏目录
DLL劫持漏洞
12-02
DLL劫持漏洞通常发生在应用程序不正确地定位和加载DLL时,攻击者可以利用此漏洞替换或注入恶意DLL,从而在目标系统上执行任意代码。 在"QQ未公开DLL劫持漏洞"的情况下,QQ这款流行的即时通讯软件可能由于编程错误或...
dll 劫持和应用研究
顶峰
03-31 730
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其中供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
DLL劫持技术解析(DLL Hijack)
輚至消亡
07-12 4032
0x01 简介 DLL劫持技术利用的是WindowsDLL访问时查找DLL位置的一个漏洞WindowsDLL的默认查找顺序(XP SP2及之后)如下: 1. EXE所在文件夹 2. Windows系统目录 3. Windows 16位系统目录 4. Windows目录 5. 当前文件夹 6. PATH环境变量中指出的目录 当我们在EXE程序中导入了某个DLL文件时,其搜索并使...
Ghidra:开源软件逆向工程框架
最新发布
网络研究观
08-14 710
Ghidra 是一种尖端的开源软件逆向工程 (SRE) 框架,是美国国家安全局 (NSA) 研究局的产品。
DLL劫持 - 以间谍的方式获取EXE主调程序与DLL被调程序的交互数据
Jhon的博客
07-03 575
本文讲解了在知道DLL接口函数调用规则的情况下,如何劫持DLL,使程序调用自己开发的DLL,从而改变程序的一些行为。这种方法经常用在破解收费软件上。 下图是基本原理:EXE原定调用“a.dll”,但是“b.dll”改名为“a.dll”,又将原来的“a.dll”改名为“a1.dll”,并在自己开发的“b.dll”中加入了调用“a1.dll”的代码,从而实现了一种“中继”的效果。一旦劫持成功,自己开发的“b.dll”中就能获取EXEDLL之间交互的数据。待解读完这些数据后,自己便可以开发这个DLL,从而实现
防范DLL劫持
Nattevak
07-11 1691
防范DLL劫持
version.dll 劫持源代码
01-08
**version.dll 劫持源代码详解** 在Windows操作系统中,`version.dll` 是一个系统级的动态链接库,主要用于处理应用程序的版本信息。它包含了读取和验证PE(Portable Executable)文件版本资源的函数。然而,有些...
dll劫持工具.zip
10-05
- 数据窃取:攻击者可以劫持与敏感操作相关的DLL,如登录过程,以获取用户信息。 - 系统稳定性下降:非兼容或设计不良的DLL可能导致程序崩溃或系统不稳定。 3. **防御措施**: - 明确指定DLL路径:使用绝对路径...
DLL劫持生成软件
08-24
DLL劫持是一种安全漏洞利用技术,攻击者通过将恶意版本的DLL文件放置在系统路径或应用程序搜索路径中,使得程序在运行时错误地加载这个恶意版本,从而实现对系统的控制或数据窃取。 DLL劫持生成软件是一种工具,...
使用aDLL二进制分析工具自动识别DLL劫持漏洞.pdf
04-22
### 使用aDLL二进制分析工具自动识别DLL劫持漏洞 #### 一、aDLL工具简介 aDLL是一款专门用于二进制代码分析的强大工具,它特别设计用于自动化地识别和发现DLL劫持漏洞。这款工具的核心优势在于其能够深入分析加载...
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64位 APIHook
E语言系统winmm.dll劫持代码
11-02
一款E语言系统winmm.dll劫持代码。请勿干坏事 。
.net 多个dll 封装成一个dll_知识科普——DLL劫持注入
weixin_39568597的博客
11-24 583
0x01 什么是DLL这里看一下百度百科的解释:DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能...
typora激活解决方案(亲测可用,包含winmm.dll文件报毒解决方案)
m0_64742606的博客
04-24 1783
Typora 是一款由 Abner Lee 开发的轻量级编辑器,与其他 Markdown 编辑器不同的是,Typora 没有采用源代码和预览双栏显示的方式,而是采用所见即所得的编辑方式,实现了即时预览的功能。
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 6144
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
winmm动态链接库时间控制方法
roymustang的博客
01-17 974
文章目录问题描述案例实验效果知识点 问题描述 winmm控件在vb.NET中的使用方法通过下述方法给以简单说明,下例中建立一个窗口,通过按钮可以观察从读取窗口后时间(ms) 案例 右击右上角windowsApplication,加入winmm动态链接库。代码如下 Public Class Form1 Private Sub Button1_Click(sender As Object,...
dll劫持
qq_46804551的博客
05-04 6221
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
putty
SXY的博客
08-27 512
PuTTY是一个Telnet、SSH、rlogin、纯TCP以及串行接口连接软件 一种远程登入工具 用它来远程管理Linux十分好用1. 【使用】 1.把Putty下载到机器上,双击putty.exe 2.输入用户名和端口 3.然后就进入服务器远程界面,最后输入账号和密码,就可以登入了 参考: http://baike.baidu.c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值