DLL攻击漫谈

2020-11-03 14:45:21 浏览数 (1)

动态链接库(DLL)的方式以及Windows API指示使用它们的方式都可以用作任意代码执行的接口,并协助恶意行为者实现其目标。

动态链接库是Microsoft实施共享库的产品。

这些库通常具有文件扩展名DLL,并且它们也是PE文件,与exe文件完全一样。

DLL可以包含PE文件可以包含的任何类型的内容,这些内容可能与代码,资源或数据的任何组合不同。

DLL主要用于在系统上的应用程序和进程之间共享此内容,以便在为Windows创建应用程序时为程序员提供高度的灵活性。

DLL以相同的访问权限在调用过程的内存中执行。这意味着,如果DLL包含任何异常,则不会为调用EXE提供任何保护。恶意攻击者可以通过使用诸如DLL劫持或DLL代理之类的方法来执行其恶意代码来利用这一事实。

DLL搜索顺序简介

在整个日常工作中,我们将大量流程加载到我们的系统中。使用Windows操作系统时,进程加载算法的关键步骤包括将动态链接库(DLL)加载到内存中,以利用其功能并满足其进程与DLL之间的依赖关系。每当启动进程时,都会发生此操作。

Windows操作系统可能包含同一DLL的大量版本。由于一个系统可能承载可能需要同一个DLL的许多进程这一事实,因此应采用一种系统来确保从正确的路径加载所需的DLL,同时确保已找到该DLL的最相关版本。

应用程序制造商通过使用LoadLibraryExA或LoadLibraryA函数来使用加载特定库的操作。这些函数接收一个路径参数,该参数导致所请求的DLL,并向调用过程返回模块的句柄。

1.当前目录

2.启动过程的目录

3.C: Windows System32

4.C: Windows System

5.C: Windows

6.“ PATH”的SYSTEM环境变量中包含的目录

7.USER环境变量“ PATH”中包含的目录

DLL攻击

DLL包含要由加载过程执行的代码,这会造成一种情况,即可以利用丢失的DLL或以不安全的方法实现的DLL来诱骗正在运行的系统执行恶意有效负载,在这种情况下,它利用本机DLL搜索顺序。恶意行为者可能会使用此技术来加载自己的DLL,该DLL可能包含任何类型的代码。

攻击利用过程

当我们确定某个进程按某个搜索顺序搜索DLL,并且缺少DLL 或者错误实现的DLL的进程之后,才能够进行下一步攻击

第一步:确定DLL

首先,我们从Sysinternals设置ProcMon来筛选未找到以DLL结尾的路径的任何操作:

ProcMon下载:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

我们可以看到“ Bginfo64.exe”找不到的对应DLL。

第二步:查找DLL和利用

在查找这些DLL时,得出的结论是Riched32.DLL是非本地DLL,因此,注册表中没有该DLL的默认搜索路径。但是如果我们正确配置它,系统最终也会加载它。

现在所需要做的就是在请求的路径中创建该DLL:

那么我们在请求路径中创建该DLL(Riched32.dll),为了方便演示,我们的DLL

如果执行了,就弹窗 hello HBT黑白天 来证明我们的DLL可以执行命令

代码语言:javascript复制
#define WIN32_LEAN_AND_MEAN
#include


extern "C" __declspec(dllexport)
DWORD WINAPI MessageBOXThread(LPVOID lpParam){
    MessageBox(NULL,"hello hbt 黑白天","hello hbt 黑白天" , NULL);
    return 0;
}


extern " C" __declspec(dllexport)
BOOL APIENTRY DllMain(HMODULE hModule,
          DWORD ul_reason_for_call,
          LPVOID lpReserved){
switch (ul_reason_for_call){
    case Dll_PROCESS_ATTACH;
      CreateThread(NULL,NULL,MessageBOXThread,NULL,NULL,NULL,NULL);
      break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_ATTACH:
    case Dll_PROCESS_ATTACH:
     break;
}
return TRUE;
          }
)

我们把这个DLL命名为Riched32.dll放进Bginfo64.exe的DLL文件夹中。

然后重新打开进程“ Bginfo64.exe。

出现该消息框,并且我们可以观察到该进程加载了DLL:

那如果我们的DLL中包含恶意代码呢。是不是可以继承Bginfo64.exe执行命令??

最后一步:拿一个shell

确定了进程和易受攻击的路径之后,所缺少的就是创建我们希望执行的DLL有效负载。

我们可以使用一个“ DLLicious”的工具(https://github.com/J3wker/DLLicous-MaliciousDLL)来快速编译包含的shell的DLL

用法

用法非常简单,只需使用Python3或“。 DLLicous.py”运行脚本

我们可以使用

1.用C语言将反向Shell编写DLL

2.Base64nc.exe 对NC二进制文件进行编码和解码,然后将其写入 DLL的工作目录中,然后从该目录中发起攻击。另一个新功能是:nc.exe在DLL中也包含base64代码,而不是从Web下载或从SMB服务器复制它。

通过使用PowerShell和DLL代码中包含的NetCat的反向Shell

并尝试与kali上的侦听器联系,然后使用PowerShell打开shell

我们可以看到执行劫持的进程后,将加载DLL并打开shell:

https://www.cynet.com/attack-techniques-hands-on/dlls-and-ways-they-can-hurt-us/

https://github.com/J3wker/DLLicous-MaliciousDLL

https://docs.microsoft.com/en-us/sysinternals/downloads/procmonhttps://docs.microsoft.com/en-us/sysinternals/downloads/procmon

渗透测试 红队攻防 免杀 权限维持 等等技术

及时分享最新漏洞复现以及EXP 国内外最新技术分享!!!

进来一起学习吧

0 人点赞