白加黑的挖掘技术虽然已经是老技术,但在实际的安全研究与实践中仍具有一定的价值。本文旨在分享如何运用Process Monitor等工具手动挖掘存在缺陷的DLL,并探索利用有道云绕过360安全防护的实践方法。由于个人实力有限,可能有些地方讲述得不够准确,还请各位读者和专家多多包涵。
想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟
免责声明
文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
言归正传,让我们开始吧!
使用Process Monitor工具来寻找可能存在缺陷的DLL文件。
使用过滤器进行条件过滤。
过滤条件这么设置:进程名字(wemeetapp.exe),路径关系(设置两个开始和结束),事件类的(动作排除)。这里可能有更好的方法去设置,但是我实力有限只能设置这样。
在设置好过滤器后,开始寻找符合条件的DLL文件。当然我们查找的dll是有条件的,接下来简单讲解一下:
类似系统的dll我们就不要去看了,系统的最好不要劫持,以免发生没必要的事情,因为的DLL通常有更高的权限和更严格的安全控制,这使得对系统DLL的劫持变得更加困难且风险更高。
优先寻找这种在腾讯会议文件路径下的dll,如上图。
点击这个路径以后会打开一个窗口,这个窗口有三个选项卡:
选择堆栈这个选修卡,如下图:
打开以后我在这个位置去寻找需要的函数(LoadLibraryA,LoadLibrary,LoadLibraryEx,LoadLibraryExA,LoadLibraryExW)。
但是这个dll里面没有,继续寻找。
OK这里找到我们需要的函数了,现在使用工具来生成代码。进行劫持,上线。
导入我们找到的这个dll以后,默认配置就行,他生成的代码,还需要进行修改。
生成好以后直接打开复制,然后新建一个dll项目,将代码粘贴进去。这里直接展示修改好以后的代码以及生成的dll:
使用简单文件路径读取以及指针执行shellcode。然后生成dll文件准备替换。
将生成好的文件替换到腾讯会议的文件里面去。
注意:在替换之前最好做一个原dll文件的副本,测试完以后替换回去,以免再次重装,在做此类测试尽量做好副。
接下来直接双击腾讯会议就能达到上线的效果。
这里可以看到已经成功上线,这里弹出了计算器我之前进行测试的时候写的,在上线的时候会弹出黑框,读者大大可以自行修改解决,上线以后的操作我们就不必多说了吧,该干嘛干嘛。
由于360我没有测试,看到这篇文章的读者大大,在修复之前,可以去试试。
白加黑的手动挖掘技术这里我们就不过多讲解了,现在已经有很多类似的工具了基本上都可以一体化挖掘,但是我们还要去了解本质。这里就直接给大家看看如何利用有道云绕过360:
结语:
原文始发于微信公众号(泾弦安全):腾讯会议DLL白加黑挖掘与有道云笔记绕过360防护策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论