劫持微信dll使木马bypass360重启上线维持权限【转载】

  • A+
所属分类:安全文章

以wechatwin.dll为例子
使用aheadlib.exe即可快速生成dll源码 方便劫持

劫持微信dll使木马bypass360重启上线维持权限【转载】

劫持微信dll使木马bypass360重启上线维持权限
软件的本质是通过读取导出的函数名和内联汇编代码来 “转发” DLL.
下载地址:https://bbs.pediy.com/thread-224408.htm
如果在加载 DLL 时出错就说明位数有问题, 需要运行 x64 的 AHeadLib.
当前者为 “直接转发函数” 时, 则直接转发整个 DLL, 代码中仅有 DllMain. 如果选择 “即时调用函数”, 就会细分至 DLL 的每一个函数, 在调用不同函数时依次进行转发. 例如在接受文档时触发 Payload, 或是在程序崩溃时触发 Payload, 高度自定义, 没有需要的话默认即可.
“原始 DLL 名” 指的是被劫持 DLL 修改后的名称. 工具只是帮你把指定函数转发到对应的 DLL 上, 并不是直接反编译出内容, 所以需要通过恶意 DLL 来调用被劫持 DLL 的相关函数, 如果勾选 “系统路径” 则说明被劫持的 DLL 为系统 DLL.

劫持微信dll使木马bypass360重启上线维持权限【转载】

生成后在 Visual Studio 新建动态链接库项目, 然后在 dllmain 中粘贴代码.
在入口函数中加入启动进程的代码.

STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
CreateProcess(TEXT("C:\Windows\System32\cmd.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);

选择对应位数编译 (如果是 64 位的 DLL 需要在项目中添加之前生成的.obj 文件).
复制 DLL, 并修改被劫持 DLL 的名称为之前指定的 “原始 DLL 名”.

劫持微信dll使木马bypass360重启上线维持权限【转载】

这里我想用这个加启动项看看能不能过360 结果算了,,360NB
启动微信 弹出CMD

劫持微信dll使木马bypass360重启上线维持权限【转载】

以传统远控为例
木马将自身复制到F盘
然后在劫持的DLL的入口函数加入启动代码

劫持微信dll使木马bypass360重启上线维持权限【转载】

劫持微信dll使木马bypass360重启上线维持权限【转载】

启动微信 叮~新的主机上线
如果微信在启动项里面的话 那么就能达到傀儡机重启木马也能上线的目的

劫持微信dll使木马bypass360重启上线维持权限已经实际测试过了 360不会拦截 只要木马静态免杀就可以了.
在实际渗透过程中 也算是一种维权的思路吧.


最后

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。


无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的



本文始发于微信公众号(无害实验室sec):劫持微信dll使木马bypass360重启上线维持权限【转载】

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: