C# hijack NSQuery::LookupServiceNext（DNS解析）

最新推荐文章于 2021-03-20 11:20:25 发布

liulilittle

最新推荐文章于 2021-03-20 11:20:25 发布

阅读量901

点赞数

分类专栏： C#

本文链接：https://blog.csdn.net/liulilittle/article/details/78008330

版权

C# 专栏收录该内容

94 篇文章 2 订阅

订阅专栏

为什么要这方面的研究？这是由于“PaperAirplane”的NSP（名称服务提供者）开发过程受到一些挫折主要是Ws32调用了MY-NSP解析但它还需要调用其它的NSP解析通过分析它是通过NSQuery::LookupServiceDispatch函数循环派发调用多个NSP解析然后组合这些数据这就造成了MY-NSP解析的Fuck A记录不在最顶部而且Ws32只会调用一次后就不在调用 NSQuery有一些优化策略会预先查询DNS缓存、

而为了此解决问题过而想剑走偏锋试试一试不过后面在不断的探索与琢磨“Proxifer”NSP部分解决了这个问题本文提出的方法也就被丢弃本身这个技术就不是那么好而且需要用到hook

NSQuery不知道是一个静态类还是实例类似乎看见它在操作RCX 但不知带是否代表实例地址~~~首先说明我研究测试de代码是在Win10 x64 14393.10上面其它Win32版本应该是不可用的 hook的目标函数RVA对称是不同的

NSQuery::LookupServiceNext位于Ws_32.dll Module被映射地址空间的0x97e0处即只要[Ws_32.dll] + 0x97e0 即可那么hook NSQuery::LookupServiceNext有什么意义？实际上应用层调用getaddrinfo、gethostbyname、DNSQuery等函数。它们都只是针对WSALookupServiceXXX函数

的一个函数封装最终都会调用到这几个函数身上

它们先调用 WSALookupServiceBegin 分配hLookup句柄、然后在循环解析的部分调用WSALookupServiceNext直到它返回SOCKET_ERROR终止在调用

WSALookupServiceEnd关闭hLookup句柄。

而WSALookupServiceNext函数会调用NSQuery::LookupServiceNext函数而WSALookupServiceNext函数是分A、W字符串版本的而它们调用的

NSQuery::LookupServiceNext函数是不区分统一是W版本 A版本调用效率是不如W版的它需要经过至少一层转换与拷贝。主要是拷贝struct WSAQUERYSETA为

struct WSAQUERYSETW本质上没什么区别就是字符串有些区别。

另一个好的方面是NSQuery导出的“LookupServiceNext”、“LookupServiceEnd”、“LookupServiceBegin”函数参数个数与“WSALookupServiceEnd”...是完全一

致的唯一不同的是它是真正循环调用多个NSP执行任务的入口

        NetHook_x64 DNSQUERY_LookupServiceNext = new NetHook_x64();
        IntPtr hModule = LoadLibrary("ws2_32.dll");
        DNSQUERY_LookupServiceNext.Install(
            (IntPtr)(hModule.ToInt64() + 0x97e0), DNSQUERY_LookupServiceNext.GetProcAddress(new LPDNSQUERY_LookupServiceNext(
                delegate (IntPtr hLookup, uint dwControlFlags, uint* lpdwBufferLength, WSAQUERYSETW* lpqsResults)
                {
                    if (lpqsResults->lpszServiceInstanceName != null)
                    {
                        Console.WriteLine(new string(lpqsResults->lpszServiceInstanceName));
                    }
                    DNSQUERY_LookupServiceNext.Suspend();
                    int error = WSALookupServiceNextW(hLookup, dwControlFlags, lpdwBufferLength, lpqsResults);
                    DNSQUERY_LookupServiceNext.Resume();
                    if (lpqsResults->dwNumberOfCsAddrs > 0)
                    {
                        CSADDR_INFO* addr = lpqsResults->lpcsaBuffer;
                        for (int i = 0; i < lpqsResults->dwNumberOfCsAddrs; i++)
                        {
                            sockaddr_in* remote = addr->RemoteAddr.lpSockaddr;
                            remote->sin_addr = 0x80000001;
                            addr++;
                        }
                    }
                    return error;
        })));

Nethook的代码可以从https://github.com/liulilittle/NetHook/blob/master/NetHook_x64.cs处获取、上述代码中利用hook成功的串改了通过nsp解析出的dns地址

但它没有区分被修改过的address是AF_INNET or AF_INNET6 所以可能会造成一些错误~如果你需要完整的测试de c#代码

你可以从 https://pan.baidu.com/s/1c1NyPMw 获取~