Windows Ring3层注入——LSP劫持注入(SPI网络过滤器注入)(八)

最新推荐文章于 2024-08-31 14:43:47 发布
最新推荐文章于 2024-08-31 14:43:47 发布
阅读量3.5k 收藏 11
点赞数 1
分类专栏: windows注入 文章标签: c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38493448/article/details/104007711
版权

Windows Ring3层注入——LSP劫持注入(SPI网络过滤器注入)(八)

LSP劫持注入知识背景

LSP(Layered Service Provider ,分层服务提供者):

  • LSP是一个安装在winsock目录中的DLL程序
    应用程序通过winsock2进行网络通信时,会调用ws2_32.dll的导出函数(如connect、accept等)。而后端通过LSP实现这些函数的底层,简单来说就是调用winsock2提供的函数时会调用对应的LSP提供的SPI函数.

SPI(Service Provider Interface,服务器提供者接口):

  • SPI是由分层服务提供者(LSP)导出的供ws2_32.dll调用的系列函数
    SPI是Winsock2提供的一项新特性,通过它可以借助实现一个LSP对现有的传输服务提供者进行扩展。
    Winsock2 SPI支持用户提供传输者名称空间两种类型的服务提供者。

在这里插入图片描述

LSP劫持注入注入原理

1.因为Winsock服务体系符合Windows开放服务体系,所以它支持第三方服务提供者插入到其中。
2.只要上层和下层的边缘支持Winsock2 SPI,即可向他们中间安装第三方提供者程序
3.普通开发者一般都是开发SPI的LSP(分层服务提供者),即第三方提供者,可用于监控Winsock API执行,
HOOK Winsock API,甚至利用LSP技术注入DLL。
4.基础协议(TCP、UDP、原始)的提供者其实就是DLL,编写分层协议提供者就是在编写DLL,然后安装在Winsock目录上,让系统上的所有使用基础协议的网络程序调用

  • LSP注入的原理大概可以概括为只要将我们编写的LSP DLL安装到系统网络协议链中,那么所有基于Winsock实现的程序都会主动加载我们的LSP DLL。我们可以利用这个特点实现对网络功能的进程的注入。

在这里插入图片描述

LSP劫持注入实现步骤

系统有一个默认的LSP,就是mswsock.dll,在自己的LSP的WSPStartup中,只要找到上层接口 (如果没有其他LSP,那么实际上就是mswsock.dll接口)并调用即可。

我们根据LSP的原理分析可知,要实现LSP的注入,大概是如下两个步骤:
1.编写一个导出WSPStartup()函数的LSP DLL。
2.编写一个安装程序,把我们编写好的LSP安装到上图体系结构中。

LIBRARY       MinWinsockSpi
DESCRIPTION   "Implements a layered service provider for TCP"
EXPORTS       WSPStartup
  • **LSP安装方法:**把安装的SPI模块信息写到注册表如下位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003

安装完毕,每个需要加载网络模块的进程都会加载我们的SPI模块,这样就成功实现了注入。进一步完善SPI DLL接口,就可以直接对网络数据进行控制了。

LSP劫持注入相关代码

// 要安装的LSP的硬编码,在移除的时候还要使用它
GUID  ProviderGuid = {0xd3c21122, 0x85e1, 0x48f3, {0x9a,0xb6,0x23,0xd9,0x0c,0x73,0x07,0xef}};


LPWSAPROTOCOL_INFOW GetProvider(LPINT lpnTotalProtocols)
{
	DWORD dwSize = 0;
	int nError;
	LPWSAPROTOCOL_INFOW pProtoInfo = NULL;
	
	// 取得需要的长度
	if(::WSCEnumProtocols(NULL, pProtoInfo, &dwSize, &nError) == SOCKET_ERROR)
	{
		if(nError != WSAENOBUFS)
			return NULL;
	}
	
	pProtoInfo = (LPWSAPROTOCOL_INFOW)::GlobalAlloc(GPTR, dwSize);
	*lpnTotalProtocols = ::WSCEnumProtocols(NULL, pProtoInfo, &dwSize, &nError);
	return pProtoInfo;
}

void FreeProvider(LPWSAPROTOCOL_INFOW pProtoInfo)
{
	::GlobalFree(pProtoInfo);
}


// 将LSP安装到UDP协议提供者之上
int InstallProvider(WCHAR *wszDllPath)
{
	WCHAR wszLSPName[] = L"外挂LSP";	// 我们的LSP的名称
	int nError = NO_ERROR;

	LPWSAPROTOCOL_INFOW pProtoInfo;
	int nProtocols;
	WSAPROTOCOL_INFOW UDPLayeredInfo, UDPChainInfo; // 我们要安装的UDP分层协议和协议链
	DWORD dwUdpOrigCatalogId, dwLayeredCatalogId;

	// 在Winsock目录中找到原来的TCP协议服务提供者,我们的LSP要安装在它之上
	// 枚举所有服务程序提供者
	// 注意下面我们是安装到TCP上的
	pProtoInfo = GetProvider(&nProtocols);
	for(int i=0; i<nProtocols; i++)
	{
		if(pProtoInfo[i].iAddressFamily == AF_INET && pProtoInfo[i].iProtocol == IPPROTO_TCP)
		{
			memcpy(&UDPChainInfo, &pProtoInfo[i], sizeof(UDPLayeredInfo));
			// 
			UDPChainInfo.dwServiceFlags1 = UDPChainInfo.dwServiceFlags1 & ~XP1_IFS_HANDLES;  
			// 保存原来的入口ID
			dwUdpOrigCatalogId = pProtoInfo[i].dwCatalogEntryId;
			break;
		}
	}  

	// 首先安装分层协议,获取一个Winsock库安排的目录ID号,即dwLayeredCatalogId
	// 直接使用下层协议的WSAPROTOCOL_INFOW结构即可
	memcpy(&UDPLayeredInfo, &UDPChainInfo, sizeof(UDPLayeredInfo));
	// 修改协议名称,类型,设置PFL_HIDDEN标志
	wcscpy(UDPLayeredInfo.szProtocol, wszLSPName);
	UDPLayeredInfo.ProtocolChain.ChainLen = LAYERED_PROTOCOL;		// LAYERED_PROTOCOL即0
	UDPLayeredInfo.dwProviderFlags |= PFL_HIDDEN;
	// 安装
	if(::WSCInstallProvider(&ProviderGuid, 
					wszDllPath, &UDPLayeredInfo, 1, &nError) == SOCKET_ERROR)
		return nError;
	// 重新枚举协议,获取分层协议的目录ID号
	FreeProvider(pProtoInfo);
	pProtoInfo = GetProvider(&nProtocols);
	for(int i =0; i<nProtocols; i++)
	{
		if(memcmp(&pProtoInfo[i].ProviderId, &ProviderGuid, sizeof(ProviderGuid)) == 0)
		{
			dwLayeredCatalogId = pProtoInfo[i].dwCatalogEntryId;
			break;
		}
	}

		// 安装协议链
	// 修改协议名称,类型
	WCHAR wszChainName[WSAPROTOCOL_LEN + 1];
	swprintf(wszChainName, L"%ws over %ws", wszLSPName, UDPChainInfo.szProtocol);
	wcscpy(UDPChainInfo.szProtocol, wszChainName);
	if(UDPChainInfo.ProtocolChain.ChainLen == 1)
	{
		UDPChainInfo.ProtocolChain.ChainEntries[1] = dwUdpOrigCatalogId;
	}
	else
	{
		for(int i=UDPChainInfo.ProtocolChain.ChainLen; i>0 ; i--)
		{
			UDPChainInfo.ProtocolChain.ChainEntries[i] = UDPChainInfo.ProtocolChain.ChainEntries[i-1];
		}
	}
	UDPChainInfo.ProtocolChain.ChainLen ++;
	// 将我们的分层协议置于此协议链的顶层
	UDPChainInfo.ProtocolChain.ChainEntries[0] = dwLayeredCatalogId; 
	// 获取一个Guid,安装之
	GUID ProviderChainGuid;
	if(::UuidCreate(&ProviderChainGuid) == RPC_S_OK)
	{
		if(::WSCInstallProvider(&ProviderChainGuid, 
					wszDllPath, &UDPChainInfo, 1, &nError) == SOCKET_ERROR)
					return nError;
	}
	else
		return GetLastError();



		// 重新排序Winsock目录,将我们的协议链提前
	// 重新枚举安装的协议
	FreeProvider(pProtoInfo);
	pProtoInfo = GetProvider(&nProtocols);

	DWORD dwIds[20];
	int nIndex = 0;
	// 添加我们的协议链
	for(int i=0; i<nProtocols; i++)
	{
		if((pProtoInfo[i].ProtocolChain.ChainLen > 1) &&
					(pProtoInfo[i].ProtocolChain.ChainEntries[0] == dwLayeredCatalogId))
			dwIds[nIndex++] = pProtoInfo[i].dwCatalogEntryId;
	}
	// 添加其它协议
	for(int i=0; i<nProtocols; i++)
	{
		if((pProtoInfo[i].ProtocolChain.ChainLen <= 1) ||
				(pProtoInfo[i].ProtocolChain.ChainEntries[0] != dwLayeredCatalogId))
			dwIds[nIndex++] = pProtoInfo[i].dwCatalogEntryId;
	}
	// 重新排序Winsock目录
	nError = ::WSCWriteProviderOrder(dwIds, nIndex);

	FreeProvider(pProtoInfo);
	return nError;
}

void RemoveProvider()
{	
	LPWSAPROTOCOL_INFOW pProtoInfo;
	int nProtocols;
	DWORD dwLayeredCatalogId;

	// 根据Guid取得分层协议的目录ID号
	pProtoInfo = GetProvider(&nProtocols);
	int nError;
	for (int i = 0; i < nProtocols; i++)
	{
		if (memcmp(&ProviderGuid, &pProtoInfo[i].ProviderId, sizeof(ProviderGuid)) == 0)
		{
			dwLayeredCatalogId = pProtoInfo[i].dwCatalogEntryId;
			break;
		}


		if (i < nProtocols)
		{
			// 移除协议链
			for (i = 0; i < nProtocols; i++)
			{
				if ((pProtoInfo[i].ProtocolChain.ChainLen > 1) &&
					(pProtoInfo[i].ProtocolChain.ChainEntries[0] == dwLayeredCatalogId))
				{
					::WSCDeinstallProvider(&pProtoInfo[i].ProviderId, &nError);
				}
			}
			// 移除分层协议
			::WSCDeinstallProvider(&ProviderGuid, &nError);
		}
	}
}


int binstall = 1;
void main()
{
	WCHAR szBuf[MAX_PATH] = {0};
	CHAR  szSel[6] = {0};
	GetCurrentDirectoryW(MAX_PATH, szBuf);
	wcscat(szBuf, L"\\LSPWG.dll");
	printf("install  or uninstall lsp: \"y\" or \"n\": ");
	scanf("%s",szSel);
	if (strcmp(szSel, "y") == 0)
	{
		binstall = 1;
	}
	else
		binstall = 0;

	if(binstall)
	{
		if(InstallProvider(szBuf) == ERROR_SUCCESS)
		{
			printf(" Install successully \n");
		}
		else
		{
			printf(" Install failed \n");
		}
	}
	else
		RemoveProvider();
}
除夕是我的猫
关注
专栏目录
LSP技术 注入技术 劫持
weixin_41454036的博客
09-21 2420
链接 https://www.cnblogs.com/freesec/p/6541725.html https://blog.csdn.net/sspdfn/article/details/86520816 LSP即分服务提供商, Winsock 作为应用程序的 Windows网络套接字工具,可以由称为“分服务提供商”的机制进行扩展。Winsock LSP 可用于非常广泛的实用用途,包括 Internet 家长控制 (parental control) 和 Web 内容筛选。在以前版本的 Windo
LSP协议被劫持,导致无法上网
热门推荐
qq_45921491的博客
05-20 3万+
QQ无法登录,网页打不开 用火绒的断网修复 说已经修复了 结果屁用没有 然后找的百度经验 管理员打开命令行窗口 输入 netsh winsock reset catalog 重启即生效
Windows SPI注入与服务实现模板
最新发布
weixin_34438187的博客
08-31 1409
本文还有配套的精品资源,点击获取 简介:SPI(Service Provider Interface)是Windows系统中用于扩展系统服务的机制,尤其在与网络相关的服务,如TCP/IP通信中。安装自定义服务提供者涉及编写特定SPI接口的代码,创建DLL,并通过API函数注册到系统中。本文档描述了SPI服务的安装、编写和测试环境,提供了项目文件和使用C++LSP实现SPI...
LSP spi 劫持
07-31
基于SPIlsp劫持。此demo可以实现对所有进程进行拦截。上传目的就是备份,以后使用
LSP注入概述
冷风
07-24 4608
所谓的LSP注入,解释下大概原理就是修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSo
LSP实现挟持网络
10-22
LSP实现挟持网络 lsp 网络挟持 浏览器挟持
LSPInject.rar_LSP拦截ftp_c++ lsp 注入_lsp inject_socket拦截_socket注入
07-14
LSPWindows操作系统中用于网络应用程序的一个关键组件,它允许在数据通过网络发送或接收时进行钩子操作,例如对Socket通信进行拦截。 LSP(本地服务提供者)是Windows API的一部分,主要处理Winsock(Windows ...
InstLSP_LSP_LSP安装_LSP安装_LSP注入_
09-29
总结,LSP(Layered Service Provider)是Windows网络编程的重要组成部分,通过LSP注入可以实现对网络通信的深度定制。然而,这也带来了一定的安全隐患,因此在开发和使用时应谨慎处理。对于`InstLSP1.cpp`这样的源...
lsp注入(原理及其实现代码)
09-17
3. **注入LSP**: LSP注入通常通过两种方式实现:一是通过系统服务或者驱动程序,在系统启动时自动加载LSP;二是利用已有的进程(如explorer.exe),在运行时注入LSP组件。 4. **拦截和处理**: 当应用程序尝试访问...
易语言lsp劫持_[原创]不用导出任何函数的DLL劫持注入,完美!
weixin_39935319的博客
12-21 2801
.最近在写SOCKS5代理,用的是LSP.代理成功了,但是因为LSP模块没办法隐藏,各种三方模块啊删除PE头,强制删除文件,游戏都会闪退想来想去,就想到这个法子,HOOK LdrLoadDll返回的模块句柄把返回句柄替换成真实的DLL句柄,这种劫持的方式好处就是不用任何导出函数不管什么是DLL劫持都可以,只要你能替换原来的DLL,LSP也挺方便的,哈哈哈不过这种lsp劫持注入,只能用API HOO...
游戏多开器LSP注入模式(摘除互斥体)
05-13
首先我先介绍了下啥叫LSP注入,这种注入是凡是联网的程序都会被注入DLL,你同时开多个网络游戏,这几个 网络游戏都会被注入DLL,从而修改掉游戏实现游戏多开。
源码 Lsp 单进程单IP,LSP 注入加载DLL,lSP注入内存加载dll-易语言
06-12
lsp Hook WSPConnect 与易的通信,命名管道通信api通信,易的管道通信有问题【可能是官方封装那出问题了,经常出现E的内核Bug,还是找不出问题的BUG】只能用API, LSP我还加上了 DLL注入,还有内存加载DLL 【建议dll用黑月进行编译】 【如果dll有接口,不要带参数】 具体还是自己看源码 以下lsp 源码 还有lsp 加载dll 内存加载dll 源码
注入技术--LSP劫持注入
weixin_30745641的博客
03-13 829
1.原理 简单来说,LSP就是一个dll程序. 应用程序通过winsock2进行网络通信时,会调用ws2_32.dll的导出函数,如connect,accept等. 而后端通过LSP实现这些函数的底. 简单来说就是调用winsock2提供的函数时会调用对应的LSP提供的SPI(服务提供者接口)函数. 例如,mswsock.dll 提供了所有tcp协议api对应的spi函数的实现. 但是如果...
LSP 网络劫持(Layered Service Provider Hijacking)
【Rainbow Network Technology co., LTD】
12-19 1168
LSP 劫持(Layered Service Provider Hijacking)是一种计算机安全漏洞和攻击技术,通常与Windows操作系统相关。它涉及到网络协议栈中的式服务提供程序(Layered Service Provider,LSP),这些提供程序用于修改、监视或过滤网络流量。LSP劫持是指攻击者通过操纵LSP,以在网络通信中插入恶意代码或进行网络监听,从而捕获敏感信息或执行恶意操作。
Winsock LSP“浏览器劫持
11-15 743
 关于Winsock LSP“浏览器劫持”,中招者一直高居不下,由于其特殊性,直接删除而不恢复LSP的正常状态很可能会导致无法上网所以对其修复需慎重.先说说什么是Winsock LSP“浏览器劫持”.Winsock LSP全称Windows Socket Layered Service Provider(分服务提供商),它是Windows网络Socker通信需要经过的大门。一些流
网络编程之编写LSP进行Winsock API监控拦截或LSP注入
fxismonk的专栏
09-21 5955
zz from: http://blog.csdn.net/Aaron133/article/details/78028942?locationNum=8&fps=1 【1】工具介绍: 用到的工具:VS2015 语言:C/C++ 需要系统提供的动态链接库:1、 sporder.dll    //很多系统不自带着个dll,导致编译时缺少dll无法编译.       
LSP劫持网络数据转发代理服务器的心得笔记
sspdfn的专栏
01-17 5940
前言 本文的目标读者是那些对LSP劫持有一定了解,也写了一些lsp程序,并想进一步深研lsp,意图做LSP代理工具的人。 如果读者对LSP没有一点了解,可以参考下面的文章: 网游加速器原理、技术与实现的第5章节 VC++基于LSP实现数据拦截 LSP网络监控 正文 简介: LSP是分服务代理的英文简写。可以这么理解,windows中任何一个socket连接最终都要调用系统库,如......
windows lsp 指导
weixin_34008784的博客
09-30 166
http://www.komodia.com/
LSPInject技术深度解析:C++实现Socket拦截与注入
LSP是微软提供的一种用于Windows平台的网络API扩展机制,它允许开发者通过注册一个分的服务提供者来修改或扩展底的Winsock2 API功能。这种技术经常被用于开发防病毒软件、网络监控工具和其他需要深度介入网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值