免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文章作者:先知社区(Mou)
文章来源:https://xz.aliyun.com/news/17180
用到的工具
- 1.Process Monitor
- vs stido
首先挖掘黑dll需要的工具有两个,第一个是ProcessMonitor另外一个是pe查看工具,在这次挖掘中只需要使用ProcessMonitor工具
挖掘黑dll主要就是看白exe在启动的时候加载了什么dll以及查看dll的导出表查看调用了什么函数来进行替换或者是那种需要加载某个dll但是没有这个dll,这次的情况就是加载了某个dll但是路径中没有这个dll导致的攻击者伪造从而达到白加黑的目的
首先配置ProcessMonitor工具的筛选条件方便我们进行筛选
一个是筛选bilibili客户端的exe一个是筛选dll文件防止出错,然后我们再启动bilibili.exe
然后我们开始寻找调用了KernelBase.dll里的LoadLibraryExW函数的dll
发现是一个加载时没找到的dll,那么这时候就可以在路径哪里创建一个同名的dll来进行测试白加黑了,由于只是测试所以就弄个最简单的弹计算机:
BOOL APIENTRY DllMain(HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved){switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:WinExec("calc.exe", SW_NORMAL);break;case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;}
生成dll改名为KBDUS.dll放到目录下双击启动:
完成
作者这个只是一个简单的模板,后续还有可开发使用方法如上线以及权限维持之类的,最后欢迎各位师傅评论一起交流学习。
原文始发于微信公众号(七芒星实验室):通过某哔哩实现白加黑
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论