通过 DLL 劫持进行横向移动

1.找到要劫持的DLL

启动一些 Windows VM 并使用 ProcMon 检查它以查找任何可能被劫持的 DLL。通常，任何给定的 Windows 主机上都有很多机会。要查找一些目标 DLL，请启动 procmon，将过滤器设置为path ends with .dll && result is NAME NOT FOUND，您将看到如下内容：

在这些说明中，我们将针对位于以下位置的缺失 DLL：

c:windowssystem32sharedres.dll

{%hint style="info"%} 可能存在更好的缺少 DLL 的进程作为目标，例如，您可以强制尝试加载缺少的 DLL 并且您即将劫持的进程。{% 结束提示 %}

2.创建有效负载DLL

现在，您需要创建一个包含有效负载的 DLL - 即 Cobalt Strike 信标。这是您将在 中植入目标系统的 DLL c:windowssystem32sharedres.dll，因为它丢失了并且 svchost.exe 正在尝试加载它。

在这种情况下，强烈建议确保您的恶意 DLL 不仅执行您的有效负载，而且还导出与您劫持的 DLL 导出的相同函数，因此在您的系统或互联网上找到真正的 DLL，以检查导出的内容它包含并确保您的 DLL 具有这些导出。毕竟，加载 DLL 的进程加载它是有原因的 - 它会想要使用该 DLL 的某些函数，如果找不到它们就会崩溃。

{%hint style="danger"%}

强烈建议确保您的恶意DLL导出与您劫持的DLL相同的函数，否则可能会导致进程崩溃或损害系统的稳定性。{% 结束提示 %}

3.复制有效负载DLL

准备好恶意 DLL 后，您现在可以通过 SMB 将 DLL 复制到远程计算机来劫持目标系统上丢失的 DLL：

copy payload.dll \target-pcc$windowssystem32sharedres.dll

4. 等待与获利

此时，您只需等待 svchost.exe 尝试加载c:windowssystem32sharedres.dll. 当这种情况发生时，您的有效负载将被执行。

可以参考这篇文章【Windows横向移动第3部分：DLL劫持】：

https://www.mdsec.co.uk/2020/10/i-live-to-move-it-windows-lateral-movement-part-3-dll-hijacking/