微game平台dll劫持&bypassuac分析

123456868

FBI warning：本文章仅供学习探讨使用，本贴为科普读物，干货较少大佬轻喷。
本文章使用到的工具：
l  进程监督器(Process Monitor)（用来监控程序干了什么，自行搜索下载）
l  Dll_hijackerp.py（用来天生dll文件源码，自行搜索下载）
l  Vc6.0（编译天生dll文件，自行搜索下载）
0x00 Dll劫持？
《DLL劫持》技术当一个可实行文件运行时，Windows加载器将可实行模块映射到进程的地址空间中，加载器分析可实行模块的输入表，并想法找出任何必要的DLL，并将它们映射到进程的地址空间中。           ----参考自百度百科
说人话就是某A.exe必要调用A.dll文件，使用里面的A函数，那么A.exe就必要加载A.dll，如果A.exe在开发的时候没说这个dll放在哪里，只说了dll的名字叫A.dll，那么A.exe会首先在当前目录寻找A.dll，没找到？A.exe就去Windows的体系目录下去找。还没找到？A.exe就去环境变量中列出的目录去找。还莫得？那就报错吧。利用这个特性，我们将A.dll改名为A_fucked.dll放到A.exe的目录下，然后我们在A.exe的目录下放入我们本身的dll并命名为A.dll，这样，A.exe启动都时候就会加载我们的A.dll，调用里面的A函数，里面的A函数我们是已经改过的，这个函数会去调用A_fucked.dll中的A函数，对于A.exe和用户，该做的事都做了程序都实行了，所以一般都感觉不到什么异常，我们就可以添加一些其他的代码，做爱做的事了。
0x01 bypassuac？
BypassUAC是一款使用Windows体系内置的AutoElevate后门攻陷Windows用户帐户控制（UAC）机制的工具。意思就是，如果你们被大黑阔通过某种方法植入了后门，通常被植入的后门必要管理员权限才能做最有趣的事，然鹅，微软搞了个必须让用户确认授权的一个东西，好比鹅厂的微game就必要管理员权限，他的图标上就有一个小盾牌。当你启动时就会弹一个确认框让用户确认。如果用户没点确认，那么黑阔的后门就莫得管理员权限，做不了有趣的事变，好比替换体系文件。我们就要通过一些特殊的方法，绕过微软的uac，获取管理员权限。


通常绕过uac有几种方法：
1.     白名单机制过uac
2.     Dll劫持（本文章探讨的就是这个）
3.     Windows自身毛病绕过
4.     Com劫持
5.     远程注入
有兴趣的同学自行搜索。
0x02 怎样发现程序可被dll劫持？
这里就必要用到ProcessMonitor。Process Monitor启动，首先打开过滤器，我们只想知道微game干了什么，我们就过滤进程。我们只想知道微game对dll进行了哪些操作，就添加路径，包含dll。



然后开始捕获事件，启动微game。就可以看到捕获的事件。
可以看到，微game首先在当前目录下加载winmmbase.dll，但未找到，于是去syswow64目录下成功加载了winmmbase.dll，此dll就符合前面说的特性。我们就可以劫持此dll。


0x03使用Dll_hijacker快速天生dll
使用Dll_hijacker这个工具可以快速天生dll，会写dll的大佬无视，我这菜鸡就用工具模板天生一个dll，弹个框框，弹个powershell。

首先，我们要找到微game调用的正常的dll，在syswow64目录下将winmmbase.dll复制出来，这是为了dll转发，让微game正常加载dll。使用Dll_hijacker天生cpp文件。

file:///C:/Temp/msohtmlclip1/01/clip_image009.jpg


找到天生的cpp文件，打开vs6.0新建动态链接库工程—>一个简单的dll工程

将用Dll_hijacker天生的cpp文件内容复制进去，记得加头文件stdafx.h,不然编译报错。


找到lstrcpy函数，里面填上必要调用的原始的dll文件名。
找到Hijack函数，这里我们弹个框框，弹个powershell。注意system必要头文件stdlib.h。
F7组建，在vc debug目录找到天生的dll。


然后我们现在有两个dll文件了，将其扔到微game目录下，就可以实现对其的dll劫持。




我们再使用ProcessMonitor看看微game是怎样加载winmmbase.dll的


Exe会先加载winmmbase.dll然后再加载winmmbase_o.dll，程序和我们本身添加的代码都正常的运行实行了
来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！