利用VmWare搞事情,白加黑干360核晶

admin
admin
admin
138635
文章
114
评论
2024年2月1日23:48:47评论189 views字数 1388阅读4分37秒阅读模式
今天在不知道什么情况的驱使之下,打开了虚拟机,看了一眼【任务管理器】,收获一个意外惊喜,利用【vmtoolsd.exe】白加黑。添加注册表,实现开机自启动!也可以利用该方法使用傀儡注入上线
CobaltStrike加载Shellcode姿势解析(6)

利用VmWare搞事情,白加黑干360核晶

找到对应路径之后,使用了愚蠢但实用的办法。将exe单独放在一个文件夹中。随后双击运行,补全所缺少的dll

利用VmWare搞事情,白加黑干360核晶

        最终结果如下:

利用VmWare搞事情,白加黑干360核晶

准备开始选择合适的dll进行劫持!将目标白进程拖入【X64dbg】中

利用VmWare搞事情,白加黑干360核晶

点击【符号】,大的框框中,标注的是用户模块(非系统进程模块),现在360全家桶对于劫持系统模块非常敏感,怀疑是将系统模块的hash保存起来了,即使是没有任何恶意代码的模块经过对比hash不一样后也即报毒,所以目前对于模块劫持还是选择用户模块比较保险。

利用VmWare搞事情,白加黑干360核晶

选中模块,即可在右侧视窗中看到导出表。这里选择的dll是【gmodule-2.0.dll】,导出函数较少,方便我们利用。

利用VmWare搞事情,白加黑干360核晶

将所有的函数下断点分析一下会调用什么函数。但是跟了一遍流程之后,发现该程序并没有调用任何这个dll中的函数,所以我们只能在dll的入口做文章了。

利用VmWare搞事情,白加黑干360核晶

推荐一个我经常使用的工具【AheadLib】,该工具可以快速的将dll中的导出函数做成一个c++代码模板,方便我们使用。如需要该工具,请在公众号回复【AheadLib】即可获取。

利用VmWare搞事情,白加黑干360核晶

利用VmWare搞事情,白加黑干360核晶

x64的dll在劫持过程中,需要汇编去实现一些功能,所以会多x86一个asm文件。创建一个项目,把这两个放入其中

利用VmWare搞事情,白加黑干360核晶

按照asm文件中的提示完成配置即可。

利用VmWare搞事情,白加黑干360核晶

利用VmWare搞事情,白加黑干360核晶

利用VmWare搞事情,白加黑干360核晶

根据个人习惯,修改一下cpp中的代码。

利用VmWare搞事情,白加黑干360核晶将原本的【gmodule-2.0.dll】->【ApiHelp.dll】提高隐蔽性

利用VmWare搞事情,白加黑干360核晶在入口处将宿主文件名改【vmtoolsd.exe】

接下来就可以添加我们的代码了,以下提供添加注册表的例子
BOOL AddReg(LPCWSTR valueData) {  HKEY hKey;  LPCWSTR subKey = L"SOFTWARE\Microsoft\Windows\CurrentVersion\Run";  LPCWSTR valueName = L"名称";  // 打开或创建注册表项  if (RegCreateKeyEx(HKEY_CURRENT_USER, subKey, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_WRITE, NULL, &hKey, NULL) == ERROR_SUCCESS) {
    // 设置启动项    if (RegSetValueEx(hKey, valueName, 0, REG_SZ, reinterpret_cast<const BYTE*>(valueData), (wcslen(valueData) + 1) * sizeof(wchar_t)) == ERROR_SUCCESS) {      RegCloseKey(hKey);      return TRUE;    }    else {      return FALSE;    }
  }  else {    return FALSE;  }
}

利用VmWare搞事情,白加黑干360核晶

编译出来测试效果!!!

利用VmWare搞事情,白加黑干360核晶

注意这里的【ApiHelp.dll】是原本的【gmodule-2.0.dll】,然后【gmodule-2.0.dll】是我们编写的恶意劫持dll。

利用VmWare搞事情,白加黑干360核晶

重启看效果,如果是真的成功的话,在每次启动之后都会弹窗!!

利用VmWare搞事情,白加黑干360核晶

今日无聊的知识就分享到这!

原文始发于微信公众号(零攻防):利用VmWare搞事情,白加黑干360核晶

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月1日23:48:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用VmWare搞事情,白加黑干360核晶https://cn-sec.com/archives/2460618.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息