[小记]注入服务进程/跨session注入

已于 2023-02-15 13:14:28 修改
阅读量438 收藏
点赞数
分类专栏: 调试 文章标签: windows 注入
于 2023-02-14 11:00:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/129022325
版权

(测试环境:win10,1909) 

 最近测试注入遇到一个问题:OpenProcess 失败,报错码:5,没有权限。

问题排查:

    1,是否是管理员权限启动程序?

          是

    2,注入的目标进程有什么特殊?

        目标进程是svchost.exe,是服务进程,在session0;我的程序在session1。

         是因为在不同session吗?

    3,上网搜索相关内容并继续试验

         弄巧成拙:通过ProcessHacker把资源管理器进程重启后,发现又可以注入服务进程了。

     所有和session没有什么关系,那是为什么?对比前后资源管理器进程的差别可以发现,如下图:

   

 (都是系统管理员权限启动)左边是重启后,右边是重启前。可以发现关键差别是SeDebugPrivilege 属性被“点开”。进程的SeDebugPrivilege被“点开"后,可以注入svchost.exe。

所有目前没有和session有什么关系,privileges matters!

  成功注入后,从内存中创建的线程,如下图:

 

//更新 2023/02/15

https://learn.microsoft.com/zh-cn/windows/win32/api/processthreadsapi/nf-processthreadsapi-createremotethreadex

微软的文档解释了,为什么有跨session注入的问题。如下:

   “在Windows 8之前,终端服务通过设计隔离每个终端会话。 因此,如果目标进程位于与调用进程不同的会话中, CreateRemoteThread 将失败。”---------微软文档 

所以在win8之前会有跨session注入的问题,在win10及以后则没有相关问题。

 在win7 x64上测试发现:OpenProcess,VirtualAlloc,WriteProcessMemory都可以成功执行,

CreateRemoteThread 执行失败,报错

The storage control blocks were destroyed.

ERROR_NOT_ENOUGH_MEMORY

8 (0x8) 。

在win7,正确的跨session 注入的方式,参考:https://article.itxueyuan.com/KA7k81

通过更底层的api,

#ifdef _WIN64
typedef DWORD(WINAPI *typedef_ZwCreateThreadEx)(
	PHANDLE ThreadHandle,
	ACCESS_MASK DesiredAccess,
	LPVOID ObjectAttributes,
	HANDLE ProcessHandle,
	LPTHREAD_START_ROUTINE lpStartAddress,
	LPVOID lpParameter,
	ULONG CreateThreadFlags,
	SIZE_T ZeroBits,
	SIZE_T StackSize,
	SIZE_T MaximumStackSize,
	LPVOID pUnkown);
#else
typedef DWORD(WINAPI *typedef_ZwCreateThreadEx)(
	PHANDLE ThreadHandle,
	ACCESS_MASK DesiredAccess,
	LPVOID ObjectAttributes,
	HANDLE ProcessHandle,
	LPTHREAD_START_ROUTINE lpStartAddress,
	LPVOID lpParameter,
	BOOL CreateSuspended,
	DWORD dwStackSize,
	DWORD dw1,
	DWORD dw2,
	LPVOID pUnkown);
#endif

 

pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
议题解析与复现--Java内存攻击技术漫谈
JavaMBa的博客
11-02 1238
allowAttachSelf绕过 在Java9及以后的版本不允许SelfAttach(即无法attach自身的进程),如图 调试一下,发现这里ALLOW_ATTACH_SELF字段设置为false 步入getSavedProperty,最终到ImmitableCollections中的table中去查找allowAttachSelf,找不到,返回空 之后,这里进行了ALLOW_ATTACH_SELF字段的检测,若不为true则抛出异常 这样看来有两种方法对这个检验进行绕过一种是使
【软件逆向】如何在windows下远程注入dll并进行虚表hook
zhangjiuding的博客
10-23 1515
如何在windows下远程注入dll并进行虚表hook
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3295
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
探秘Process Hacker:一款强大的系统监控工具
最新发布
gitblog_00052的博客
04-11 632
探秘Process Hacker:一款强大的系统监控工具 项目地址:https://gitcode.com/processhacker/phnt 项目简介 Process Hacker 是一个开源、免费且功能丰富的进程查看和管理系统工具。它提供了详细的进程信息,允许用户深入探索和控制操作系统运行中的每一个进程,包括内存、线程、模块、句柄等详细信息,并具备权限提升、挂起、恢复、终止进程等功能。 该项...
Qt5.12.9显示GR-805:DX9 Overlay is DISABLED
qq_44226798的博客
03-05 2494
GR-805:DX9 Overlay is DISABLED
Process Hacker工具使用
李安北的博客
05-26 9825
Process Hacker是一款免费开源的统进程管理和内存编辑器,它不仅能够帮助你查看管理进程,同时也能进行系统监视和内存编辑,帮助你监视系统资源、调试软件和检测恶意软件。 下载地址:https://process-hacker.en.softonic.com/ 使用直接双击Process Hacker.exe 简单使用 1.监控流量 首先可以监测软件的流量 2.管理服务,包含检测系统加载的驱动 3.查看软件的网络连接 4.检测磁盘读写数据,有部分软件疯狂的读写磁盘,磁盘损耗,浪费带宽。 5.F
Beatles小记
03-02
这篇小记主要处于两方面考虑:首先,希望打破一提到海量数据分析,就只有hadoop基础上的一系列工具,更多的时候很多企业需要的是更轻量的设计(办喜酒杀猪杀鸡未必都要用一把刀),因此将开放平台基础分析组件重构...
Cookie 小记
12-07
1.有一次在开发过程发现Session.Clear(), 就可以直接清楚Session, 那Cookie可以吗? Cookie.Clear()试了一把, 无果,cookie还是存在。得出答案就是不行。 Session是存在服务器端,通用程序可以控制,可是Cookie是...
python进行爬虫小记
01-15
Python爬虫技术是一种用于自动化网页数据抓取的编程方法,尤其适合初学者快速入门。Python在爬虫领域具有显著优势,因为其拥有丰富的第三方库,如requests、lxml和parsel等,使得编写爬虫代码变得简洁高效。...
vuex使用方法,小记总结
03-25
Vuex 使用方法总结 Vuex 是一个专门为 Vue.js 设计的状态管理器,用于管理应用程序的状态。下面是 Vuex 的使用方法总结: State Vuex 的状态管理是通过 State 来实现的。State 是一个对象,存储了应用程序的所有...
ProcessHacker进程处理工具
10-25
ProcessHacker,可以查看、分析当前系统上运行的进程。查看其加载的Dll。
Process Hacker 2.39 x86&x64
10-24
A free, powerful, multi-purpose tool that helps you monitor system resources, debug software and detect malware.
Process Hacker 简单介绍
热门推荐
一杯咖啡的渗透记忆
03-15 2万+
Process Hacker是一款功能丰富的系统进程管理工具。用户只要借助该程序就可以方便,快捷地查看相关进程的速度,内存,及模块等等,另外,还可以对相关的进程进行管理工作。ProcessHacker 绿色版,下载解压后点击“ProcessHacker.exe”文件运行。在项目测试中的应用:启动C2Olay项目后,在Processhacker 主界面的进程树中找到C2Global.Presen...
ProcessHacker实现原理(一)
yjz1409276的专栏
01-09 4449
枚举进程:调用NtQuerySystemInformation函数,第一个参数为SystemProcessInformation(枚举值 = 5),第二个参数返回类型SYSTEM_PROCESS_INFORMATION。原型如下: typedef struct _SYSTEM_PROCESS_INFORMATION {     ULONG NextEntryOffset;     ULON
RtlCreateUserThread创建用户线程
Rprop
02-19 5140
HANDLE WINAPI RLIBCreateThread(HANDLE hProcess, SECURITY_ATTRIBUTES *sa, SIZE_T stack, LPTHREAD_START_ROUTINE start, LPVOID param, DWORD flags, LPDWORD id ) { HANDLE handle; CLIENT_ID client_id; NT
CreateRemoteThread
weixin_30542079的博客
12-07 111
/************************************************************************/ /*通过CreateRemoteThread注入进程 /*参数:进程ID,dll路径 /************************************************************************/ B...
Win7 CreateRemoteThread 另类使用方法
经典的误导的专栏
04-26 1817
同样的代码,在XP下面随便你怎么整,WIN7的话是相当纠结的,具体哪些错误就不解释了 ~~   gg点了二十多页,在韩国某大牛的博客上总算找到一点思路(虽然看不懂韩文,但代码还算勉强看得懂吧)   原来是要用动态调用ntdll.dll >> NtCreateRemoteThreadEx ,于是over~~   说明: 1、InjectDll.exe   是
protobuff使用小记
05-31
下面是使用Protobuf的一些小记: 1. 定义消息格式 首先,需要定义消息格式,以便Protobuf可以将数据序列化和反序列化。消息格式定义在.proto文件中,使用protobuf语言编写。例如,下面是一个简单的消息格式定义: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值