Windows Ring3层注入——LSP劫持注入(SPI网络过滤器注入)(八)

最新推荐文章于 2023-12-19 15:51:18 发布
最新推荐文章于 2023-12-19 15:51:18 发布
阅读量3.4k 收藏 11
点赞数 1
分类专栏: windows注入 文章标签: c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38493448/article/details/104007711
版权

Windows Ring3层注入——LSP劫持注入(SPI网络过滤器注入)(八)

LSP劫持注入知识背景

LSP(Layered Service Provider ,分层服务提供者):

  • LSP是一个安装在winsock目录中的DLL程序
    应用程序通过winsock2进行网络通信时,会调用ws2_32.dll的导出函数(如connect、accept等)。而后端通过LSP实现这些函数的底层,简单来说就是调用winsock2提供的函数时会调用对应的LSP提供的SPI函数.

SPI(Service Provider Interface,服务器提供者接口):

  • SPI是由分层服务提供者(LSP)导出的供ws2_32.dll调用的系列函数
    SPI是Winsock2提供的一项新特性,通过它可以借助实现一个LSP对现有的传输服务提供者进行扩展。
    Winsock2 SPI支持用户提供传输者名称空间两种类型的服务提供者。

在这里插入图片描述

LSP劫持注入注入原理

1.因为Winsock服务体系符合Windows开放服务体系,所以它支持第三方服务提供者插入到其中。
2.只要上层和下层的边缘支持Winsock2 SPI,即可向他们中间安装第三方提供者程序
3.普通开发者一般都是开发SPI的LSP(分层服务提供者),即第三方提供者,可用于监控Winsock API执行,
HOOK Winsock API,甚至利用LSP技术注入DLL。
4.基础协议(TCP、UDP、原始)的提供者其实就是DLL,编写分层协议提供者就是在编写DLL,然后安装在Winsock目录上,让系统上的所有使用基础协议的网络程序调用

  • LSP注入的原理大概可以概括为只要将我们编写的LSP DLL安装到系统网络协议链中,那么所有基于Winsock实现的程序都会主动加载我们的LSP DLL。我们可以利用这个特点实现对网络功能的进程的注入。

在这里插入图片描述

LSP劫持注入实现步骤

系统有一个默认的LSP,就是mswsock.dll,在自己的LSP的WSPStartup中,只要找到上层接口 (如果没有其他LSP,那么实际上就是mswsock.dll接口)并调用即可。

我们根据LSP的原理分析可知,要实现LSP的注入,大概是如下两个步骤:
1.编写一个导出WSPStartup()函数的LSP DLL。
2.编写一个安装程序,把我们编写好的LSP安装到上图体系结构中。

LIBRARY       MinWinsockSpi
DESCRIPTION   "Implements a layered service provider for TCP"
EXPORTS       WSPStartup
  • **LSP安装方法:**把安装的SPI模块信息写到注册表如下位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003

安装完毕,每个需要加载网络模块的进程都会加载我们的SPI模块,这样就成功实现了注入。进一步完善SPI DLL接口,就可以直接对网络数据进行控制了。

LSP劫持注入相关代码

// 要安装的LSP的硬编码,在移除的时候还要使用它
GUID  ProviderGuid = {0xd3c21122, 0x85e1, 0x48f3, {0x9a,0xb6,0x23,0xd9,0x0c,0x73,0x07,0xef}};


LPWSAPROTOCOL_INFOW GetProvider(LPINT lpnTotalProtocols)
{
	DWORD dwSize = 0;
	int nError;
	LPWSAPROTOCOL_INFOW pProtoInfo = NULL;
	
	// 取得需要的长度
	if(::WSCEnumProtocols(NULL, pProtoInfo, &dwSize, &nError) == SOCKET_ERROR)
	{
		if(nError != WSAENOBUFS)
			return NULL;
	}
	
	pProtoInfo = (LPWSAPROTOCOL_INFOW)::GlobalAlloc(GPTR, dwSize);
	*lpnTotalProtocols = ::WSCEnumProtocols(NULL, pProtoInfo, &dwSize, &nError);
	return pProtoInfo;
}

void FreeProvider(LPWSAPROTOCOL_INFOW pProtoInfo)
{
	::GlobalFree(pProtoInfo);
}


// 将LSP安装到UDP协议提供者之上
int InstallProvider(WCHAR *wszDllPath)
{
	WCHAR wszLSPName[] = L"外挂LSP";	// 我们的LSP的名称
	int nError = NO_ERROR;

	LPWSAPROTOCOL_INFOW pProtoInfo;
	int nProtocols;
	WSAPROTOCOL_INFOW UDPLayeredInfo, UDPChainInfo; // 我们要安装的UDP分层协议和协议链
	DWORD dwUdpOrigCatalogId, dwLayeredCatalogId;

	// 在Winsock目录中找到原来的TCP协议服务提供者,我们的LSP要安装在它之上
	// 枚举所有服务程序提供者
	// 注意下面我们是安装到TCP上的
	pProtoInfo = GetProvider(&nProtocols);
	for(int i=0; i<nProtocols; i++)
	{
		if(pProtoInfo[i].iAddressFamily == AF_INET && pProtoInfo[i].iProtocol == IPPROTO_TCP)
		{
			memcpy(&UDPChainInfo, &pProtoInfo[i], sizeof(UDPLayeredInfo));
			// 
			UDPChainInfo.dwServiceFlags1 = UDPChainInfo.dwServiceFlags1 & ~XP1_IFS_HANDLES;  
			// 保存原来的入口ID
			dwUdpOrigCatalogId = pProtoInfo[i].dwCatalogEntryId;
			break;
		}
	}  

	// 首先安装分层协议,获取一个Winsock库安排的目录ID号,即dwLayeredCatalogId
	// 直接使用下层协议的WSAPROTOCOL_INFOW结构即可
	memcpy(&UDPLayeredInfo, &UDPChainInfo, sizeof(UDPLayeredInfo));
	// 修改协议名称,类型,设置PFL_HIDDEN标志
	wcscpy(UDPLayeredInfo.szProtocol, wszLSPName);
	UDPLayeredInfo.ProtocolChain.ChainLen = LAYERED_PROTOCOL;		// LAYERED_PROTOCOL即0
	UDPLayeredInfo.dwProviderFlags |= PFL_HIDDEN;
	// 安装
	if(::WSCInstallProvider(&ProviderGuid, 
					wszDllPath, &UDPLayeredInfo, 1, &nError) == SOCKET_ERROR)
		return nError;
	// 重新枚举协议,获取分层协议的目录ID号
	FreeProvider(pProtoInfo);
	pProtoInfo = GetProvider(&nProtocols);
	for(int i =0; i<nProtocols; i++)
	{
		if(memcmp(&pProtoInfo[i].ProviderId, &ProviderGuid, sizeof(ProviderGuid)) == 0)
		{
			dwLayeredCatalogId = pProtoInfo[i].dwCatalogEntryId;
			break;
		}
	}

		// 安装协议链
	// 修改协议名称,类型
	WCHAR wszChainName[WSAPROTOCOL_LEN + 1];
	swprintf(wszChainName, L"%ws over %ws", wszLSPName, UDPChainInfo.szProtocol);
	wcscpy(UDPChainInfo.szProtocol, wszChainName);
	if(UDPChainInfo.ProtocolChain.ChainLen == 1)
	{
		UDPChainInfo.ProtocolChain.ChainEntries[1] = dwUdpOrigCatalogId;
	}
	else
	{
		for(int i=UDPChainInfo.ProtocolChain.ChainLen; i>0 ; i--)
		{
			UDPChainInfo.ProtocolChain.ChainEntries[i] = UDPChainInfo.ProtocolChain.ChainEntries[i-1];
		}
	}
	UDPChainInfo.ProtocolChain.ChainLen ++;
	// 将我们的分层协议置于此协议链的顶层
	UDPChainInfo.ProtocolChain.ChainEntries[0] = dwLayeredCatalogId; 
	// 获取一个Guid,安装之
	GUID ProviderChainGuid;
	if(::UuidCreate(&ProviderChainGuid) == RPC_S_OK)
	{
		if(::WSCInstallProvider(&ProviderChainGuid, 
					wszDllPath, &UDPChainInfo, 1, &nError) == SOCKET_ERROR)
					return nError;
	}
	else
		return GetLastError();



		// 重新排序Winsock目录,将我们的协议链提前
	// 重新枚举安装的协议
	FreeProvider(pProtoInfo);
	pProtoInfo = GetProvider(&nProtocols);

	DWORD dwIds[20];
	int nIndex = 0;
	// 添加我们的协议链
	for(int i=0; i<nProtocols; i++)
	{
		if((pProtoInfo[i].ProtocolChain.ChainLen > 1) &&
					(pProtoInfo[i].ProtocolChain.ChainEntries[0] == dwLayeredCatalogId))
			dwIds[nIndex++] = pProtoInfo[i].dwCatalogEntryId;
	}
	// 添加其它协议
	for(int i=0; i<nProtocols; i++)
	{
		if((pProtoInfo[i].ProtocolChain.ChainLen <= 1) ||
				(pProtoInfo[i].ProtocolChain.ChainEntries[0] != dwLayeredCatalogId))
			dwIds[nIndex++] = pProtoInfo[i].dwCatalogEntryId;
	}
	// 重新排序Winsock目录
	nError = ::WSCWriteProviderOrder(dwIds, nIndex);

	FreeProvider(pProtoInfo);
	return nError;
}

void RemoveProvider()
{	
	LPWSAPROTOCOL_INFOW pProtoInfo;
	int nProtocols;
	DWORD dwLayeredCatalogId;

	// 根据Guid取得分层协议的目录ID号
	pProtoInfo = GetProvider(&nProtocols);
	int nError;
	for (int i = 0; i < nProtocols; i++)
	{
		if (memcmp(&ProviderGuid, &pProtoInfo[i].ProviderId, sizeof(ProviderGuid)) == 0)
		{
			dwLayeredCatalogId = pProtoInfo[i].dwCatalogEntryId;
			break;
		}


		if (i < nProtocols)
		{
			// 移除协议链
			for (i = 0; i < nProtocols; i++)
			{
				if ((pProtoInfo[i].ProtocolChain.ChainLen > 1) &&
					(pProtoInfo[i].ProtocolChain.ChainEntries[0] == dwLayeredCatalogId))
				{
					::WSCDeinstallProvider(&pProtoInfo[i].ProviderId, &nError);
				}
			}
			// 移除分层协议
			::WSCDeinstallProvider(&ProviderGuid, &nError);
		}
	}
}


int binstall = 1;
void main()
{
	WCHAR szBuf[MAX_PATH] = {0};
	CHAR  szSel[6] = {0};
	GetCurrentDirectoryW(MAX_PATH, szBuf);
	wcscat(szBuf, L"\\LSPWG.dll");
	printf("install  or uninstall lsp: \"y\" or \"n\": ");
	scanf("%s",szSel);
	if (strcmp(szSel, "y") == 0)
	{
		binstall = 1;
	}
	else
		binstall = 0;

	if(binstall)
	{
		if(InstallProvider(szBuf) == ERROR_SUCCESS)
		{
			printf(" Install successully \n");
		}
		else
		{
			printf(" Install failed \n");
		}
	}
	else
		RemoveProvider();
}
除夕是我的猫
关注
专栏目录
LSP技术 注入技术 劫持
weixin_41454036的博客
09-21 2387
链接 https://www.cnblogs.com/freesec/p/6541725.html https://blog.csdn.net/sspdfn/article/details/86520816 LSP即分服务提供商, Winsock 作为应用程序的 Windows网络套接字工具,可以由称为“分服务提供商”的机制进行扩展。Winsock LSP 可用于非常广泛的实用用途,包括 Internet 家长控制 (parental control) 和 Web 内容筛选。在以前版本的 Windo
网络编程之编写LSP进行Winsock API监控拦截或LSP注入
htpidk的博客
07-06 1731
【1】工具介绍:用到的工具:VS2015 语言:C/C++ 需要系统提供的动态链接库:1、 sporder.dll //很多系统不自带着个dll,导致编译时缺少dll无法编译. (发布时必须将此dll放到程序目录) 本人只提供: WIN7 64位的sporder.dll :http://download.csdn.net/do...
LSP spi 劫持
07-31
基于SPIlsp劫持。此demo可以实现对所有进程进行拦截。上传目的就是备份,以后使用
LSP注入概述
冷风
07-24 4578
所谓的LSP注入,解释下大概原理就是修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSo
LSP实现挟持网络
10-22
LSP实现挟持网络 lsp 网络挟持 浏览器挟持
Windows Ring3注入——输入法注入(六)
qq_38493448的博客
01-16 2136
Windows Ring3注入——输入法注入(六)输入法介绍输入法注入原理输入法注入的相关知识输入法注入步骤输入法注入的函数原型及代码示例输入法注入操作描述流程图删除自己安装的输入法: 输入法介绍 输入法是一类特殊的程序,主要功能在程序中是进行文字的输入,一般有外挂式(早期的“万能五笔”)和输入法接口式两种实现方式。 外挂式比较简单,它的形式通常是一个EXE文件,通过模拟一些Windows输入...
LSPInject.rar_LSP拦截ftp_c++ lsp 注入_lsp inject_socket拦截_socket注入
07-14
LSPWindows操作系统中用于网络应用程序的一个关键组件,它允许在数据通过网络发送或接收时进行钩子操作,例如对Socket通信进行拦截。 LSP(本地服务提供者)是Windows API的一部分,主要处理Winsock(Windows ...
InstLSP_LSP_LSP安装_LSP安装_LSP注入_
09-29
总结,LSP(Layered Service Provider)是Windows网络编程的重要组成部分,通过LSP注入可以实现对网络通信的深度定制。然而,这也带来了一定的安全隐患,因此在开发和使用时应谨慎处理。对于`InstLSP1.cpp`这样的源...
lsp注入(原理及其实现代码)
09-17
3. **注入LSP**: LSP注入通常通过两种方式实现:一是通过系统服务或者驱动程序,在系统启动时自动加载LSP;二是利用已有的进程(如explorer.exe),在运行时注入LSP组件。 4. **拦截和处理**: 当应用程序尝试访问...
游戏多开器LSP注入模式(摘除互斥体)
05-13
首先我先介绍了下啥叫LSP注入,这种注入是凡是联网的程序都会被注入DLL,你同时开多个网络游戏,这几个 网络游戏都会被注入DLL,从而修改掉游戏实现游戏多开。
源码 Lsp 单进程单IP,LSP 注入加载DLL,lSP注入内存加载dll-易语言
06-12
lsp Hook WSPConnect 与易的通信,命名管道通信api通信,易的管道通信有问题【可能是官方封装那出问题了,经常出现E的内核Bug,还是找不出问题的BUG】只能用API, LSP我还加上了 DLL注入,还有内存加载DLL 【建议dll用黑月进行编译】 【如果dll有接口,不要带参数】 具体还是自己看源码 以下lsp 源码 还有lsp 加载dll 内存加载dll 源码
SPI 注入 安装模板
07-26
SPI注入需要两部分内容 1.安装SPI服务 2.编写一个导出wspstartup的DLL 这里是一个 空的模板,都可以正常运行,测试环境为windwos xp,win7,win2003
易语言lsp劫持_[原创]不用导出任何函数的DLL劫持注入,完美!
weixin_39935319的博客
12-21 2728
.最近在写SOCKS5代理,用的是LSP.代理成功了,但是因为LSP模块没办法隐藏,各种三方模块啊删除PE头,强制删除文件,游戏都会闪退想来想去,就想到这个法子,HOOK LdrLoadDll返回的模块句柄把返回句柄替换成真实的DLL句柄,这种劫持的方式好处就是不用任何导出函数不管什么是DLL劫持都可以,只要你能替换原来的DLL,LSP也挺方便的,哈哈哈不过这种lsp劫持注入,只能用API HOO...
注入技术--LSP劫持注入
weixin_30745641的博客
03-13 810
1.原理 简单来说,LSP就是一个dll程序. 应用程序通过winsock2进行网络通信时,会调用ws2_32.dll的导出函数,如connect,accept等. 而后端通过LSP实现这些函数的底. 简单来说就是调用winsock2提供的函数时会调用对应的LSP提供的SPI(服务提供者接口)函数. 例如,mswsock.dll 提供了所有tcp协议api对应的spi函数的实现. 但是如果...
LSP 网络劫持(Layered Service Provider Hijacking)
最新发布
【Rainbow Network Technology co., LTD】
12-19 1030
LSP 劫持(Layered Service Provider Hijacking)是一种计算机安全漏洞和攻击技术,通常与Windows操作系统相关。它涉及到网络协议栈中的式服务提供程序(Layered Service Provider,LSP),这些提供程序用于修改、监视或过滤网络流量。LSP劫持是指攻击者通过操纵LSP,以在网络通信中插入恶意代码或进行网络监听,从而捕获敏感信息或执行恶意操作。
Winsock LSP“浏览器劫持
11-15 734
 关于Winsock LSP“浏览器劫持”,中招者一直高居不下,由于其特殊性,直接删除而不恢复LSP的正常状态很可能会导致无法上网所以对其修复需慎重.先说说什么是Winsock LSP“浏览器劫持”.Winsock LSP全称Windows Socket Layered Service Provider(分服务提供商),它是Windows网络Socker通信需要经过的大门。一些流
LSP协议被劫持,导致无法上网
热门推荐
qq_45921491的博客
05-20 3万+
QQ无法登录,网页打不开 用火绒的断网修复 说已经修复了 结果屁用没有 然后找的百度经验 管理员打开命令行窗口 输入 netsh winsock reset catalog 重启即生效
LSP劫持网络数据转发代理服务器的心得笔记
sspdfn的专栏
01-17 5892
前言 本文的目标读者是那些对LSP劫持有一定了解,也写了一些lsp程序,并想进一步深研lsp,意图做LSP代理工具的人。 如果读者对LSP没有一点了解,可以参考下面的文章: 网游加速器原理、技术与实现的第5章节 VC++基于LSP实现数据拦截 LSP网络监控 正文 简介: LSP是分服务代理的英文简写。可以这么理解,windows中任何一个socket连接最终都要调用系统库,如......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值