1.找到要劫持的DLL
启动一些 Windows VM 并使用 ProcMon 检查它以查找任何可能被劫持的 DLL。通常,任何给定的 Windows 主机上都有很多机会。要查找一些目标 DLL,请启动 procmon,将过滤器设置为path ends with .dll && result is NAME NOT FOUND,您将看到如下内容:
在这些说明中,我们将针对位于以下位置的缺失 DLL:
c:windowssystem32sharedres.dll{%hint style="info"%} 可能存在更好的缺少 DLL 的进程作为目标,例如,您可以强制尝试加载缺少的 DLL 并且您即将劫持的进程。{% 结束提示 %}
2.创建有效负载DLL
现在,您需要创建一个包含有效负载的 DLL - 即 Cobalt Strike 信标。这是您将在 中植入目标系统的 DLL c:windowssystem32sharedres.dll,因为它丢失了并且 svchost.exe 正在尝试加载它。
在这种情况下,强烈建议确保您的恶意 DLL 不仅执行您的有效负载,而且还导出与您劫持的 DLL 导出的相同函数,因此在您的系统或互联网上找到真正的 DLL,以检查导出的内容它包含并确保您的 DLL 具有这些导出。毕竟,加载 DLL 的进程加载它是有原因的 - 它会想要使用该 DLL 的某些函数,如果找不到它们就会崩溃。
{%hint style="danger"%}强烈建议确保您的恶意DLL导出与您劫持的DLL相同的函数,否则可能会导致进程崩溃或损害系统的稳定性。{% 结束提示 %}
3.复制有效负载DLL
准备好恶意 DLL 后,您现在可以通过 SMB 将 DLL 复制到远程计算机来劫持目标系统上丢失的 DLL:
copy payload.dll \target-pcc$windowssystem32sharedres.dll4. 等待与获利
此时,您只需等待 svchost.exe 尝试加载c:windowssystem32sharedres.dll. 当这种情况发生时,您的有效负载将被执行。
可以参考这篇文章【Windows横向移动第3部分:DLL劫持】:
https://www.mdsec.co.uk/2020/10/i-live-to-move-it-windows-lateral-movement-part-3-dll-hijacking/
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):通过 DLL 劫持进行横向移动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论