某信服 EDR 白程序DLL劫持

本文用到的白程序回复公众号20231211进行获取。

嗯... 记得去年HW的时候某信服给我装的EDR一直没卸载，不是不想卸载，是因为卸载要密码，所以就摆烂了。。。。

找到EDR这个目录，然后把目录复制到虚拟机中，然后一个一个exe查看的时候发现将updater.exe复制到桌面打开的时候缺少libepsbase.dll这个文件文件。

我们创建一个动态链接库将导出函数写进去

extern "C" __declspec(dllexport) int error_output() {}extern "C" __declspec(dllexport) int dirutils_path_transform() {}extern "C" __declspec(dllexport) int autolog_init() {

}extern "C" __declspec(dllexport) int error_output_check() {

}

然后在dllMain方法中输出一个MessageBoxA

编译x64位的dll然后，然后将这个文件和updater.exe放在同一目录，将dll名字改为libepsbase.dll

双击udater.exe执行。

我们发现MessageBox被调用了。

如下图updater.exe这个程序，可以看到这个程序的签名是某信服的，而且是正常的签名。

这样的话我们是不是可以通过白程序->dll->dllMain->shellcode

剩下的各位自己发挥吧

下面贴一张图过360的。

到这里就结束了，动动你的小手点个关注呗，你的关注就是我写文章的动力。

额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....下面凑数字额....

原文始发于微信公众号（Relay学安全）：某信服 EDR 白程序DLL劫持