提权之DLL注入

最新推荐文章于 2022-02-22 23:16:59 发布
最新推荐文章于 2022-02-22 23:16:59 发布
阅读量1k 收藏 3
点赞数

DLL注入是一种允许攻击者在另一个进程的地址空间的上下文中运行任意代码的技术。如果进程中以过多的权限运行,那么可以会被攻击者加以利用,以便以DLL文件的形式执行恶意代码以提升权限。

手动注入

通过Metasploit的msfvenom创建DLL,该文件可以生成包含特定有效内容的DLL文件。应该注意的是,如果DLL被注入的进程是64位,那么应该使用64位有效负载。

Msfvenom - DLL生成

下一步是设置metasploit监听,以便在将恶意DLL注入进程后接受连接。

Metasploit监听配置

有许多可以执行DLL注入的工具,但最可靠的工具之一 就是使用CreateRemoteThread技术的Remote DLL Injector,它可以将DLL注入启用ASLR的进程。进程ID和DLL的路径是工具需要的两个参数:

从Remote DLL Injector执行的那一刻起,为了实现DLL注入,将提供执行的完整步骤。

Remote DLL Injector - DLL注入方法

如果DLL被成功注入,它将返回一个具有进程权限的更改会话。因此,具有比标准更高权限的进程可能会被滥用以进行特权升级。

特权升级 - DLL注入

Metasploit注入

Metasploit框架具有执行DLL注入的特定模块。它只需要链接到一个传输器会话,并指定进程的PID和DLL的路径。

Metasploit - DLL注入模块

Metasploit - DLL注射

PowerSploit

通过DLL注入提升权限也可以与PowerSploit一起使用。msfvenom可以用于生成恶意DLL,然后通过任务管理器可以获得目标进程的PID。如果进程作为SYSTEM运行,则注入的DLL将以相同的权限运行。

发现进程ID

Invoke-DLLInjection模块将执行DLL注入,如下所示:

PowerSploit - DLL注入

DLL内的有效内容将被执行,并且将获得SYSTEM权限。

DLL执行与系统特权

参考

  • https://clymb3r.wordpress.com/2013/04/06/reflective-dll-injection-with-powershell/

  • http://blog.opensecurityresearch.com/2013/01/windows-dll-injection-basics.html

  • https://disman.tl/2015/01/30/an-improved-reflective-dll-injection-technique.html

  • https://github.com/stephenfewer/ReflectiveDLLInjection

  • https://www.nettitude.co.uk/dll-injection-part-two/

扫描下方二维码学习更多WEB安全知识:

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com

Ms08067安全实验室
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows提权---DLL注入/不带引号的服务路径/注册表
qq_40012781的博客
07-03 1024
DLL注入提权、不带引号的服务路径提权、注册表提权
提权注入进程提权
weixin_34008784的博客
12-31 589
注入进程提权【相当于开了一个后门,隐蔽性极高,不会创建新的进程,很难发现】 注入到system用户的进程,当管理员账户或其他账户注销后,后门仍然存在。可以理解为将pinjector注入到其他用户的进程里一起运行,进而同时拥有了对应的权限。 下面是图文教程。 0x01 从http://www.tarasco.org/security/Process_Injector/ 下载pinjecto...
dll注入实验
Shanfenglan's blog
07-06 619
文章目录目的流程写一个dlldll注入参考文章 目的 让我们的dll程序加载在其他已经运行的程序中。 流程 1.提权到管理员权限,需要bypassuac。 2.根据目标进程的pid使用OpenProcess函数得到进程句柄 3.根据进程句柄在目标进程中申请内存VirtualAllocEx 4.在目标进程中刚刚申请的内存空间中写入所需参数(Dll的完整路径)WriteProcessMemory 5.用GetProcAddress得到LoadLibraryW的模块加载地址 6.启动远程线程CreateRemot
Windows提权实战————4、DLL注入
Fly_鹏程万里
05-23 3307
前言DLL注入是一种允许攻击者在另一个进程的地址空间的上下文中运行任意代码的技术。如果某进程以过多的权限运行,那么可以会被攻击者加以利用,以DLL文件的形式执行恶意代码以提升权限。手动注入通过Metasploit的msfvenom创建DLL,该文件可以生成包含特定有效内容的DLL文件。应该注意的是,如果DLL注入的进程是64位,那么应该使用64位有效负载。下一步是设置metasploit监听,以...
基于DLL劫持的WebShell提权
沧海桑田
05-05 1283
从本文您可以学到:   什么是DLL劫持   DLL劫持在破解逆向程序时是常用的,我们同样可以用于Webshell提权。   ●DLL劫持产生的原因●   先来看一下,DLL劫持的原因。   1、Windows的DLL称为动态链接库,动态链接库技术的本质实际上是将可执行文件与库文件分离,DLL库文件通过导出表提供API接口,PE加载器通过exe文件的导入表加载相应的D
DLL注入器.rar
04-04
DLL(Dynamic Link Library)注入是一种高级的编程技术,通常用于在其他进程上下文中执行代码,以便于调试、监控、扩展或篡改程序行为。DLL注入器是实现这一技术的工具,它允许用户将自定义的DLL文件加载到目标进程...
dll注入实例注入代码
11-03
DLL注入是一种技术,它允许一个进程(通常是恶意软件或黑客工具)将动态链接库(DLL)加载到另一个正在运行的进程中,从而实现对目标进程的控制或监视。这个过程涉及到了Windows操作系统的核心机制,包括进程内存...
DLL注入工具.rar
04-04
DLL注入是一种技术,常用于软件调试、性能监测、恶意软件活动中,通过将动态链接库(DLL)加载到另一个正在运行的进程内存空间中,实现对目标进程的功能扩展或控制。这个压缩包“DLL注入工具.rar”包含的是易语言...
DLL注入工具 纯净版
11-14
DLL注入工具纯净版 安全无毒
进程注入器,dll注入
最新发布
08-30
进程注入DLL注入是计算机安全领域中的技术,主要用于软件调试、功能增强以及恶意软件的渗透测试。这些技术涉及操作系统的核心层面,尤其是进程管理和动态链接库(DLL)的加载机制。 DLL注入是一种技术,通过将一...
以调试方式进行Dll注入
11-14
VS2008 以调试的方式进行dll注入, 可以注入mfc dll. 没有提权代码, 如果不能注入, 尝试以管理员方式启动和添加提权代码. 仅供演示, 没有错误检查代码.
注入助手X64版本.exe
05-16
64位注入器,支持多种静态和动态方式注入模式,方便易用!
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
DLL代理转发与维权
蚁景网安学院
11-13 583
亲爱的,关注我吧11/12文章共计1101个词预计阅读7分钟来和我一起阅读吧本文涉及知识点实操练习——特征码免杀MYCCL应用 https://www.hetianlab.com/ex...
SQL注入-基于MySQL的注入提权(十七)
Gjqhs的博客
02-22 3197
实验目的 普及结合dll文件对Windows系统进行UDF提权,掌握UDF提权的基本思路,熟悉UDF提权的主要方法。PS:面试时不要说打靶场什么东西,就说创建用户,文件执行什么之类的 基本概念 提权 通过某种方式将低权限用户提升为高权限用户的过程。 注入提权 一般指的是在掌控了某数据库账户的情况下,通过SQL注入等方式提升该账户的权 限,进而夺得服务器(操作系统)的控制权 Windows2003操作系统—一默认用户 System:本地机器上拥有最高权限的用户,普通用户管理工具查看不到 Adminis
DLL注入实验笔记
pDaren的专栏
08-20 777
MSDN已经说明了DllMain可以省略,但这里不能省略。原因很简单,查看DllMain定义的形参就知道是什么回事啦。当应用程序加载DLL时会发送消息到DllMain函数的第二个参数。利用这个特性,加载的DLL就可以立刻响应里面的功能函数啦!!下面是实验的代码:#include DWORD WINAPI ThreadProc(PVOID lp); BOOL APIENTRY DllMain(HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpRese
从内网渗透来理解dll劫持的工具
qq_41071646的博客
02-12 644
dll劫持 以前学过 但是并没有注意过 但是这一天在web手的启发下 发现 dll劫持在内网渗透里面的权限维持使用率还是挺高的,, 看来不能小看老技术啊== = 一开始我的想法是 修改exe 然后直接替换exe = = dll 查找的顺序就不说了 这里就了解到三个工具 以及他们的思路 发现学习了不少 第一个是 rattler 这个 是一个查找能利用的dll 主要的...
fuzzbunch工具实现dll注入
Ms08067安全实验室
07-20 907
文章来源|MS08067内网安全知识星球本文作者:BlackCat(Ms08067 内网小组成员)前言上阶段无意间接触到了这个工具,感觉功能还可以,在最近的hw中,测试发现,在一些08的...
delphi dlldll注入
08-07
Delphi是一种编程语言,而DLL(Dynamic-Link Library)是一种模块化的文件格式,用于存储代码和数据,可以被多个应用程序共享。DLL注入是一种技术,它允许将DLL文件加载到正在运行的进程中,并使得该进程能够调用DLL中的函数和使用其中的数据。 在Delphi中实现DLL注入的方法有很多种。一种常见的方法是使用Windows API函数LoadLibrary和GetProcAddress。通过调用LoadLibrary函数,将DLL文件加载到进程的虚拟地址空间中。然后使用GetProcAddress函数获取DLL中导出函数的地址,并将其传递给需要调用的函数。通过这种方式,可以在运行时将DLL注入到目标进程中,并且通过调用DLL中的函数来扩展进程的功能。 DLL注入在实际应用中有多种用途。例如,可以使用DLL注入来为某个程序添加额外的功能或修改程序的行为。DLL注入还可以用于实现一些调试和监控的功能。通过注入DLL,可以截获程序的输入和输出,或者在程序执行某些指定的操作时进行额外的处理。 在Delphi中实现DLL注入需要一定的编程知识和技巧。需要考虑目标进程的架构和权限限制,以及如何管理注入DLL的生命周期和资源管理。同时,还需要处理一些安全性和稳定性方面的问题,以确保注入过程不会对目标进程造成损害或崩溃。 总之,Delphi可以通过调用Windows API函数来实现DLL注入,从而扩展和修改进程的功能。但在实际应用中,需要考虑各种方面的问题,并且遵守相关的法律和规定,以确保注入操作的安全性和合法性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值