Snowming04's Blog
一颗红❤
Toggle navigation
Snowming04's Blog
主页
Cobalt Strike
Accelerated C++
区块链安全
友链
关于我
常用工具
代码积累
归档
标签
劫持安全狗更新服务进行权限维持
? 权限维持 ?
2020-04-10 00:24:27
1244
0
0
snowming
? 权限维持 ?
## DLL 劫持 DLL 劫持原理就不再老生常谈,参考最权威的微软官方文档: [Dynamic-Link Library Search Order](https://docs.microsoft.com/zh-cn/windows/win32/dlls/dynamic-link-library-search-order?redirectedfrom=MSDN) 或者此篇: [浅谈DLL劫持](https://www.cnblogs.com/bmjoker/p/11031238.html) ## 适用范围 本文中所介绍的劫持安全狗更新服务来维持权限的方法,网站安全狗、服务器安全狗通杀,因为不管是网站安全狗还是服务器安全狗都会有下图所示的更新服务:  ## 利用思路 安全狗有个 System 权限启的自启动的更新服务:  监控其 `Update.exe` 调用失败的记录,选择 `VERISON.dll` 作为调用顺序劫持的目标:  通过工具查看【使用到的】导入 DLL 的导出函数:  决定自己编译一个 Version.dll 实现此几个函数,进行调用顺序劫持。 ## 操作方法 `Visual Studio` → `新建项目`→`新建动态链接库DLL(C++)`: >注:测试过通过 external "C" 从 DLL 中导出函数会报错(因为重载了 Windows API)。    然后也尝试了先把三个函数名先改为长度一致的其他名字,然后在 010editor 中修改 DLL 的函数名,但是镜像损坏,也无法被调用。 经过各种测试,通过 `.def` 文件导出函数的方法成功了。  通过添加现有项的方式导入 test.def:    把编译生成的 DLL 文件改名为 `VERSION.dll`,丢到 SafeDogUpdateCenter 文件夹下:  测试:点击运行 `Update.exe` 即可弹出计算器:  环境问题遇到了一个报错,但是不影响 calc.exe 的执行。再者,在这里因为我只是为了方便调试,所以双击用户权限运行的。劫持服务继承 SYSTEM 权限,和用户不在一个桌面,所以用户也看不到什么报错弹窗。 那么,要进行权限维持,就把 calc.exe 改为马就行了(这个思路主要是想结合 Cobalt Strike 的 artifact)。因为更新服务本身是个自启动服务,所以我们也不用再加启动项。更新服务每次开机启动,然后调用 Update.exe,exe 调用劫持 dll,马就被执行上线了,隐蔽性较高。 >或者把马写进 DLL 中,因为 DLL 调用 beacon.exe 隐蔽性不够强,得劫持 DLL 还得上传 beacon。所以还需要对 beacon.exe 做额外的免杀处理,因为 beacon.exe 需要落地目标主机上,还需要一直驻留。 ## 效果分析  被劫持的 `Update.exe` 是有证书的,白 exe + 黑 dll 标准白加黑启动项,而且此更新服务还是白服务启动,还带驱动保护。所以做权限维持相对比较稳。 ------------------- 参考文档: 1. [深入分析 DLL 调用过程实现“自适应” DLL 劫持](https://www.4hou.com/posts/wRPR),嘶吼,丝绸之路,2020/04/05
上一篇:
【Accelerated C++】课时11:定义抽象数据类型
下一篇:
【Win32编程】C++ 编写 DLL 并调用(动态链接库)
0
赞
1244 人读过
新浪微博
微信
腾讯微博
QQ空间
人人网
提交评论
立即登录
, 发表评论.
没有帐号?
立即注册
0
条评论
More...
文档导航
没有帐号? 立即注册