【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

admin
admin
admin
138135
文章
113
评论
2025年2月21日23:19:12评论23 views字数 2057阅读6分51秒阅读模式

开篇

测试目标:360安全卫士、360安全卫士(极速版)
这两个存在着dll劫持的可能,经过测试是可行的,那么就意味着可以在360的进程中启动木马或其他恶意行为。可作为维权的一种手段。(理论可行)[手动狗头]
经官方验证:
该问题需要满足特定提权条件,且需要管理员权限操作手工拷贝DLL,在实际环境中无法利用。因此,在此分享相关技术内容以供参考学习。

实战部分

本次用到的工具:ProcessMonitor
截图部分采用360安全卫士(极速版)作为例子,视频部分采用360安全卫士作为例子。

分享①:快速扫描之外的路径

360安全系列,他们的 "快速扫描" 功能并不是对所有目录进行扫描,主打一个 " 快 " 字,那么有一些路径是不会扫描到的,例如我发现的:
C:Program Files(x86)Common FilesMicrosoft Sharedink
C:WindowsWinSxS
其他的大家可以通过ProcessMonitor这款工具进行查看。将赛选条件选择360的进程,然后点击快速扫描,这时候他会对需要扫描的路径进行访问,那么我们将他扫描的路径拷贝下来进行规整,外出这些路径之外的路径,将不作为  "快速扫描的扫描对象"  。报了qvm的文件放到这些路径下面是不会被扫描的。

分享②:劫持tiptsf.dll

dll触发条件比较苛刻,需要用户点击添加白名单的按钮。

复现过程

在点击添加白名单时会调用该dll。
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)
C:Program Files(x86)Common FilesMicrosoft Sharedinktiptsf.dll

这个路径下的文件权限属于:Trustedinstaller,所以我们需要获取这个文件夹的权限。

takeown /F "C:Program Files (x86)Common FilesMicrosoft Sharedink" /A/R /DYicacls "C:Program Files (x86)Common FilesMicrosoft Sharedink"/grant Administrators:F /T
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

这两条代码执行完之后,administrator就可以操作这目录下的文件了。我们将自己写好的dll放入这个代码目录。

copyDesktoptiptsf.dll "C:Program Files (x86)Common FilesMicrosoft Sharedinktiptsf.dll"/Y
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

到这里准备工作已经完成了,一共就是三行代码。

触发条件

点击添加白名单中的 "添加文件" 即可触发。
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

分享③:劫持comctl32.dll、GdiPlus.dll

因为360在占用该dll的使用,所以我们没办法直接覆盖。所以上诉方法并不适用。
解决办法:(理论可行)[手动狗头]
白加黑添加一个计划任务,还需要添加一行代码
MoveFileExW(路径, NULL, MOVEFILE_DELAY_UNTIL_REBOOT)
MoveFileExW的作用是给这个文件进行标记,因为文件占用时候无法被覆盖,所以标记为MOVEFILE_DELAY_UNTIL_REBOOT,重启之后移除文件。
计划任务的功能就是为了让计算器重启的时候,我们能将dll覆盖进去。

复现过程

启动360安全卫士或360安全卫士极速版的时候会加载这两个dll,由于该技术点相似,复现comctl32.dll作为例子。
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)
C:WindowsWinSxSx86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.14393.447_none_89c64d28dafea4b9comctl32.dll
每个电脑的所在路径并不是一致,不过可以在白加黑中写遍历的功能找出所在位置。利用方式同上。
takeown /F "C:WindowsWinSxSx86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.14393.447_none_89c64d28dafea4b9" /A /R /D Yicacls "C:WindowsWinSxSx86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.14393.447_none_89c64d28dafea4b9" /grant
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)
直接用之前的dll做个例子,启动360之后将会报错,因为没有正确的编写导出函数。如果要正常使用360使用函数转发即可。
copy Desktoptiptsf.dll "C:WindowsWinSxSx86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.14393.447_none_89c64d28dafea4b9comctl32.dll" /Y
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

触发条件

360重新启动的时候。例如:开机,升级,用户重启360
【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

视频效果

原文始发于微信公众号(零攻防):【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月21日23:19:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【免杀实战】 分享360dll劫持的白加黑挖掘过程(已忽略)https://cn-sec.com/archives/3767013.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息