DLL攻击漫谈

动态链接库（DLL）的方式以及Windows API指示使用它们的方式都可以用作任意代码执行的接口，并协助恶意行为者实现其目标。

动态链接库是Microsoft实施共享库的产品。

这些库通常具有文件扩展名DLL，并且它们也是PE文件，与exe文件完全一样。

DLL可以包含PE文件可以包含的任何类型的内容，这些内容可能与代码，资源或数据的任何组合不同。

DLL主要用于在系统上的应用程序和进程之间共享此内容，以便在为Windows创建应用程序时为程序员提供高度的灵活性。

DLL以相同的访问权限在调用过程的内存中执行。这意味着，如果DLL包含任何异常，则不会为调用EXE提供任何保护。恶意攻击者可以通过使用诸如DLL劫持或DLL代理之类的方法来执行其恶意代码来利用这一事实。

DLL搜索顺序简介

在整个日常工作中，我们将大量流程加载到我们的系统中。使用Windows操作系统时，进程加载算法的关键步骤包括将动态链接库（DLL）加载到内存中，以利用其功能并满足其进程与DLL之间的依赖关系。每当启动进程时，都会发生此操作。

Windows操作系统可能包含同一DLL的大量版本。由于一个系统可能承载可能需要同一个DLL的许多进程这一事实，因此应采用一种系统来确保从正确的路径加载所需的DLL，同时确保已找到该DLL的最相关版本。

应用程序制造商通过使用LoadLibraryExA或LoadLibraryA函数来使用加载特定库的操作。这些函数接收一个路径参数，该参数导致所请求的DLL，并向调用过程返回模块的句柄。

1.当前目录

2.启动过程的目录

3.C： Windows System32

4.C： Windows System

5.C： Windows

6.“ PATH”的SYSTEM环境变量中包含的目录

7.USER环境变量“ PATH”中包含的目录

DLL攻击

DLL包含要由加载过程执行的代码，这会造成一种情况，即可以利用丢失的DLL或以不安全的方法实现的DLL来诱骗正在运行的系统执行恶意有效负载，在这种情况下，它利用本机DLL搜索顺序。恶意行为者可能会使用此技术来加载自己的DLL，该DLL可能包含任何类型的代码。

攻击利用过程

当我们确定某个进程按某个搜索顺序搜索DLL，并且缺少DLL 或者错误实现的DLL的进程之后，才能够进行下一步攻击

第一步：确定DLL

首先，我们从Sysinternals设置ProcMon来筛选未找到以DLL结尾的路径的任何操作：

ProcMon下载：https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

我们可以看到“ Bginfo64.exe”找不到的对应DLL。

第二步：查找DLL和利用

在查找这些DLL时，得出的结论是Riched32.DLL是非本地DLL，因此，注册表中没有该DLL的默认搜索路径。但是如果我们正确配置它，系统最终也会加载它。

现在所需要做的就是在请求的路径中创建该DLL：

那么我们在请求路径中创建该DLL（Riched32.dll），为了方便演示，我们的DLL

如果执行了，就弹窗 hello HBT黑白天 来证明我们的DLL可以执行命令

#define WIN32_LEAN_AND_MEAN#include

extern "C" __declspec(dllexport)DWORD WINAPI MessageBOXThread(LPVOID lpParam){    MessageBox(NULL,"hello hbt 黑白天","hello hbt 黑白天" , NULL);    return 0;}

extern " C" __declspec(dllexport)BOOL APIENTRY DllMain（HMODULE hModule,          DWORD ul_reason_for_call,          LPVOID lpReserved){switch (ul_reason_for_call){    case Dll_PROCESS_ATTACH;      CreateThread(NULL,NULL,MessageBOXThread,NULL,NULL,NULL,NULL);      break;    case DLL_THREAD_ATTACH:    case DLL_THREAD_ATTACH:    case Dll_PROCESS_ATTACH:     break;}return TRUE;          }）

我们把这个DLL命名为Riched32.dll放进Bginfo64.exe的DLL文件夹中。

然后重新打开进程“ Bginfo64.exe。

出现该消息框，并且我们可以观察到该进程加载了DLL：

那如果我们的DLL中包含恶意代码呢。是不是可以继承Bginfo64.exe执行命令？？

最后一步：拿一个shell

确定了进程和易受攻击的路径之后，所缺少的就是创建我们希望执行的DLL有效负载。

我们可以使用一个“ DLLicious”的工具（https://github.com/J3wker/DLLicous-MaliciousDLL）来快速编译包含的shell的DLL

用法

用法非常简单，只需使用Python3或“。 DLLicous.py”运行脚本

我们可以使用

1.用C语言将反向Shell编写DLL

2.Base64nc.exe 对NC二进制文件进行编码和解码，然后将其写入
DLL的工作目录中，然后从该目录中发起攻击。另一个新功能是：nc.exe在DLL中也包含base64代码，而不是从Web下载或从SMB服务器复制它。

通过使用PowerShell和DLL代码中包含的NetCat的反向Shell

并尝试与kali上的侦听器联系，然后使用PowerShell打开shell

我们可以看到执行劫持的进程后，将加载DLL并打开shell：

https://www.cynet.com/attack-techniques-hands-on/dlls-and-ways-they-can-hurt-us/https://github.com/J3wker/DLLicous-MaliciousDLLhttps://docs.microsoft.com/en-us/sysinternals/downloads/procmonhttps://docs.microsoft.com/en-us/sysinternals/downloads/procmon

注：如有侵权请联系删除

   学习更多技术，关注我：   

原文始发于微信公众号（编码安全研究）：DLL攻击漫谈