DLL劫持技术权限提升及防范

admin 2024年6月29日02:18:19评论16 views字数 2799阅读9分19秒阅读模式

DLL劫持技术权限提升及防范

Dll劫持原理介绍

DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是一种文件类型。在程序运行中,可能会需要一些相对独立的动态链接库,而这些预先放置在系统中的动态链接库文件。当我们执行某一个程序时,相应的DLL文件就会被调用。DLL 是一个包含可由多个程序同时使用的代码和数据的库,一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。

DLL劫持指的是,恶意程序通过劫持或者替换正常的动态链接库,欺骗正常程序加载精心准备的恶意动态链接库。DLL劫持发产生大多与动态链接库加载顺序顺序有关,不同的系统查找DLL的目录以及对应的顺序略有差异,大概可以分为Windows XP SP2之前、在winxdows xp sp2之后这两种情况。

  • 在Windows XP SP2之前,Windows查找DLL的目录以及对应的顺序如下:

  • 进程对应的应用程序所在目录。

  • 当前目录(Current Directory)。

  • 系统目录(通过 GetSystemDirectory 获取)。

  • 16位系统目录。

  • Windows目录(通过 GetWindowsDirectory 获取)。

  • PATH环境变量中的各个目录。

在Windows XP SP2之后到Windows 7 ,引入了一个名为SafeDllSearchMode的安全机制,SafeDllSearchMode默认为开启状态,此时Windows查找DLL的目录以及对应的顺序如下:

  • 进程对应的应用程序所在目录。

  • 当前目录(Current Directory)。

  • 系统目录(通过 GetSystemDirectory 获取)。

  • 16位系统目录。

  • Windows目录(通过 GetWindowsDirectory 获取)。

  • PATH环境变量中的各个目录。

在Windows7之后,在原来SafeDllSearchMode的规则下,额外引入了KnownDLLs概念,以缓解DLL劫持问题。KnownDLLs 是一个注册表项,位于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs,如图所示,此项下的所有匹配到的DLL文件就会被禁止从程序自身所在的目录下调用,而只能从系统目录即SYSTEM32目录下调用。

编写测试DLL

测试DLL劫持漏洞需要编写一个用于测试DLL劫持的测试DLL程序,为了保证一定的通用性,该程序使用DllMain作为触发点,程序代码如下:

#include "pch.h"BOOL APIENTRY DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){switch (ul_reason_for_call){       case DLL_PROCESS_ATTACH:       MessageBoxA(0,"Process attach",0,0);       break;       case DLL_PROCESS_DETACH:       MessageBoxA(0,"Process detach",0,0);       break;       case DLL_THREAD_ATTACH:       MessageBoxA(0,"Thread attach",0,0);       break;       case DLL_THREAD_DETACH:       MessageBoxA(0,"Thread detach",0,0);       break;}return TRUE;}

将以上代码编译为DLL,当程序存在DLL劫持漏洞,调用DllMain会弹出对应的消息框。

可以编写一个Demo程序,使用Windows api LoadLibraryA函数来加载这个DLL,程序代码如下:

#include#include           int main(){    HMODULE hModule = LoadLibraryA("payload.dll");    FreeLibrary(hModule);    return 0;}

此时,运行该程序将使用LoadLibraryA函数加载测试DLL,弹出MessageBox对话框,如图所示。

DLL劫持技术权限提升及防范

DLL劫持测试弹框图

手动挖掘DLL劫持漏洞

Putty.exe是知名的ssh连接客户端,本次使用Putty的0.62版本,演示如何挖掘一个可利用的DLL劫持漏洞,并使用上节编写的测试payload来触发MessageBox对话框。

首先启动Process Monitor,根据实际情况添加过滤条件,如下图4-40、4-41所示,过滤条件为进程名为Putty.exe的条目以及结果为NAME NOT FOUND的条目。

DLL劫持技术权限提升及防范

过滤putty.exe文件名

DLL劫持技术权限提升及防范

过滤NAME NOT FOUND的结果

随后启动Putty.exe,捕获到以下条目。如图所示,可以看到Putty.exe加载了UIAutomationCore.dll,且该DLL名不在KnownDLLs列表中。

DLL劫持技术权限提升及防范

putty过滤结果

将编写的测试DLL放到Putty.exe同级目录,并重命名为UIAutomationCore.dll,点击putty.exe,启动程序,如图所示,此时弹出了MessageBox对话框,证明此时已经挖掘出一个putty的DLL劫持漏洞。

DLL劫持技术权限提升及防范

Putty DLL劫持漏洞触发弹框

通过本次实验,介绍了如何手工挖掘一个入口点为DllMain的DLL劫持漏洞。实际上,除DllMain以外,DLL还有着很多其他的入口函数,通过更加深入的挖掘,可以找到更多的DLL劫持漏洞。

使用DLLHSC自动挖掘DLL劫持漏洞

DLLHSC是一个C++编写的开源项目,下载地址为https://github.com/ctxis/DLLHSC,主要用于DLL劫持漏洞的自动化挖掘。

使用如下命令,将启动程序并打印它所加载的非KnownDLLs列表,而且不是WinSxS依赖的DLL文件名,如图所示。

DLLHSC.exe -e putty.exe -lm   

DLL劫持技术权限提升及防范

DLLHSC -lm挖掘DLL劫持

使用如下命令,将加载可行性文件,并且Hook LoadLibrary和LoadLibraryEx函数,打印加载的DLL文件名,如图所示。

DLLHSC.exe -e putty.exe -rt   

DLL劫持技术权限提升及防范

DLLHSC -rt挖掘DLL劫持

DLL劫持漏洞的防御措施

在软件开发过程中,开发者需要格外注意使用安全函数来加载动态函数库,尽量使用绝对路径加载库函数,对于加载的DLL要验证MD5、签名等信息,来防止DLL劫持漏洞产生。

对于主机侧,可以尝试监控 DLL 创建的额外进程或其他实例,攻击者通过触发DLL劫持通常会有其他恶意操作来达到进一步提权的目的。

DLL劫持漏洞往往附带着其他攻击手法,可以安装EDR等安全软件防止攻击者利用DLL劫持漏洞进一步攻击。

原文始发于微信公众号(Ms08067安全实验室):DLL劫持技术权限提升及防范

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月29日02:18:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DLL劫持技术权限提升及防范https://cn-sec.com/archives/2894434.html

发表评论

匿名网友 填写信息