時間:2017-12-26 來源:互聯網 瀏覽量:
微軟在2010年的2269637號安全公告中披露了Dll劫持漏洞(DLL Hijacking Exploit)。國外安全公司Authentium在博客中描述DLL劫持漏洞時,用The world is going to end(世界末日)做標題。七年過去了,DLL劫持技術也已經是黑客們殺人越貨,打家劫舍必備的武器。但就是這樣一個漏洞,微軟似乎卻沒有放在心上,隻是輕描淡寫地修改了一下注冊表完事。
海陽頂端黑客今天來教你一招,利用此漏洞打開這記事本就能運行你的程序,從製作方法到原理讓你明明白白。你也不用擔心你的計算機水平,看完我的文章,人人都會製作的。
一、製作前的準備工作,生成一個運行計算器的dll。
(1) 去https://pentestbox.org/zh/#download下載pentestbox,記得下載安裝有 Metasploit 的 PentestBox。
下載安裝完畢後,直接點擊目錄裏的PentestBox.exe或PentestBox.bat。如果你是WIN10 係統的話,記住要在出來的界麵裏打輸一次CMD,要不沒法用,這算是它的BUG了,其它係統你直接用就行,不用輸CMD。
(2) 一條命令生成一個可以運行計算器的cryptbase.dll文件,我是生成在了D盤。 如果你想執行別的命令,學習下Metasploit吧。
執行:msfvenom -p windows/exec CMD=calc.exe -f dll -o d:/cryptbase.dll
二、準備一台win7 32位的機器進行測試。
(1)拷貝win732機器裏的記事本程序notepad.exe和步驟一裏生成的cryptbase.dll放在同一個目錄。
(2)點擊記事本程序notepad.exe,計算器就會彈了出來。
三、這個漏洞的原理是什麼?
在Windows係統中,為了節省內存和實現代碼重用,微軟在Windows操作係統中實現了一種共享函數庫的方式,這就是DLL文件。係統調用DLL時會依次從下麵幾個位置去查找所需要調用的DLL文件。
1.程序所在目錄。
2.加載 DLL 時所在的當前目錄。
3.係統目錄即 SYSTEM32 目錄。
4.16位係統目錄即 SYSTEM 目錄。
5.Windows目錄。
6.PATH環境變量中列出的目錄
因為我們把cryptbase.dll放在了notepad.exe的同目錄,所以首先第一個調用的就是同目錄下的cryptbase.dll文件。
四、你怎麼知道要用cryptbase.dll這個文件名?
這個你可以用filemon軟件,打開之後,點擊那個小漏鬥圖標,輸入notepad.exe進行過濾。然後你再打開你copy出來的notepad.exe進行捕獲,你會看到很多信息。你看我下圖中,我鼠標點高亮的那一行有個NOT FOUND選項。意思是在當前目錄中沒有找到cryptbase.dll文件。那麼自然而然,我們找到的能利用的就是cryptbase.dll這個文件了。如果你會了的話,你能找到win7 x64位的的可利用文件名嗎?
五、微軟做了哪些補丁措施?
微軟為了更進一步的防禦係統的DLL被劫持,將一些容易被劫持的係統DLL寫進了一個注冊表項中,那麼凡是此項下的DLL文件就會被禁止從EXE自身所在的目錄下調用,而隻能從係統目錄即SYSTEM32目錄下調用。注冊表路徑如下:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
下圖是我在win10中的注冊表選項,注冊表裏的dll隻能讓你從system32下調用了。
不過,微軟又莫名其妙的允許用戶在上述注冊表路徑中添加“ExcludeFromKnownDlls”注冊表項,排除一些被“KnownDLLs注冊表項”機製保護的DLL。也就是說,隻要在“ExcludeFromKnownDlls”注冊表項中添加你想劫持的DLL名稱就可以對該DLL進行劫持,不過修改之後需要重新啟動電腦才能生效。
但是呢,這個補丁對我們的辦法來講是不起作用的,因為我們找到的是係統目錄下未加載的而且在當前目錄下找不到的DLL,而且我們的搜索順序是排在第一位的,是不是非常可怕呢?所以如果有陌生人給你發一個帶DLL的文件夾,無論同目錄底下是什麼文件你都要小心了,這是來自海陽頂端黑客的善意提醒,如果你實在忍不住好奇心,那就在虛擬機中打開吧。這篇文章方法是簡單的,原理有點深了,不知道頭條的觀眾能不能接受得了,但是我相信大家還是能看明白的,我追求的是黑客技術,流量就次要吧。
