文章详情
D盾dll劫持利用
D盾dll劫持利用
原理
我个人的理解是:通过一些方法来劫持或者替换原程序运行时调用的dll,欺骗程序加载该恶意dll。
利用途径
dll劫持可用来做权限维持,钓鱼攻击等等。(当然师傅们肯定还有其他骚思路,这里不一一举例)
漏洞挖掘
1、运行D盾客户端(我这里是v.2.1.5.4),使用Process Explorer查看程序加载了哪些dll。
2、在这里还需要介绍下SafeDllSearchMode和KnownDLLs,前者是windows针对dll劫持设置的安全机制,后者包含了系统中常见的dll,但如果在该注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs,创建KnownDLLs中同名dll并指定位置,同名dll将保护失效。(具体原理请自行百度)
3、检测方式
- 从这些加载的dll查看有没有KnownDLLs中不存在的dll项,如果有可以使用K8大佬的K8dllhijack.dll直接改成该dll名,放入程序目录下运行程序即可(查看是否有不存在项,可以使用Process Monitor比较方便)
如果没有不存在KnownDLLs中的项(即都为SUCCESS),使用开源的自动化检测工具Rattler进行检测
https://github.com/sensepost/rattler/releases/tag/v1.0
再如果Rattler也检测不出来呢,放弃(划掉),使用ChkDllHijack.exe
使用Process Explorer导入D盾的dll路径,然后用该工具加载即可,一顿操作后显示winsta.dll存在劫持。
使用Rattler中的payload.dll改名为winsta.dll,运行D盾弹出计算器,没毛病铁子们!
权限维持-ByPass火绒
按说到上面了我是已经写完了,但怕各位表哥的水遁术喷死,我就再挤点牙膏,使用轮子哥的Dll(IAT)来实现CS上线。(IAT这个工具我实在忘了是哪找到的,所以没链接呀,各位大表哥自己找找,我这个还报毒,害怕)
把CS生成的shellcode复制到工具中生成dll
把这两个文件拖入D盾运行文件夹,wwwcomw.dll改为winsta.dll,点击劫持文件,然后运行D盾,cs已经上线,火绒无反应。
由于D盾大多设置自启,可以通过该方式进行权限维持。
结语
该漏洞已经提交cnvd,文章只用来讨论技术,切勿用在非法途径!!!
上一文章:记一次不存在的ecshop实战渗透
下一文章:MS16-063绕过CFG利用
相关推荐
- 10-20seo是什么,学seo有什么用?
- 05-19LightCMS文件上传
- 10-27代码审计之TP6任意文件操作漏洞
- 10-26Node.jsVuln
- 11-12记一次bc推广
- 11-16SRC混子的漏洞挖掘之道
- 10-28强网杯2020-GooExecchromepwn分析及两种利用
- 10-21从报错信息泄露到使用ECS接口执行命令反弹s
- 10-21巧用可变函数绕过CVE-2020-15148限制
- 11-13某HW行动中的一次渗透测试
- 10-23谈谈AMF网站的渗透测试
- 10-21渗透测试之信息收集
- 05-08剖析CobaltStrike的DLLStager
- 10-21记一次某源码审计