DLL劫持

最近一段時間實在是忙，亂七八糟的，都沒空寫部落格，但是學習還得繼續，最近看了下DLL劫持，嚴格上說這不能算是漏洞，但是第一次接觸感覺有點意思，寫出來記錄一下吧，老年人了記性不好，小白文章歡迎指正。

0x01 劫持原理

1.什麼是DLL
DLL(Dynamic Link Library)檔案為動態連結庫檔案，又稱“應用程式拓展”，是軟體檔案型別。在Windows中，許多應用程式並不是一個完整的可執行檔案，它們被分割成一些相對獨立的動態連結庫，即DLL檔案，放置於系統中。當我們執行某一個程式時，相應的DLL檔案就會被呼叫。一個應用程式可使用多個DLL檔案，一個DLL檔案也可能被不同的應用程式使用，這樣的DLL檔案被稱為共享DLL檔案。
2.什麼是DLL劫持

應用程式匯入函式與DLL檔案中的匯出函式進行連結有兩種方式：隱式連結（load-time dynamic linking）也叫靜態呼叫和顯式連結（run-time dynamic linking）也叫動態呼叫。隱式連結方式一般用於開發和除錯，而顯式連結方式就是我們常見的使用LoadLibary或者LoadLibraryEx函式（注：涉及到模組載入的函式有很多）來載入DLL去呼叫相應的匯出函式。呼叫LoadLibrary或者LoadLibraryEx函式時可以使用DLL的相對路徑也可以使用絕對路徑，但是很多情況下，開發人員都是使用了相對路徑來進行DLL的載入。那麼，在這種情況下，Windows系統會按照特定的順序去搜索一些目錄，來確定DLL的完整路徑。關於動態連結庫的搜尋順序的更多詳細資料請參閱MSDN。根據MSDN文件的約定，在使用了DLL的相對路徑

呼叫LoadLibrary函式時，系統會依次從下面幾個位置去查詢所需要呼叫的DLL檔案。

1.程式所在目錄
2.系統目錄即 SYSTEM32 目錄。
3.16位系統目錄即 SYSTEM 目錄。
4.Windows目錄。
5.載入 DLL 時所在的當前目錄。
6.PATH環境變數中列出的目錄。

微軟為了防止DLL劫持漏洞的產生，在XP SP2之後，添加了一個SafeDllSearchMode的登錄檔屬性。登錄檔路徑如下：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SafeDllSearchMode

當SafeDllSearchMode的值設定為1時，DLL查詢的目錄順序就發生了變化：

1.程式所在目錄
2.系統目錄即 SYSTEM32 目錄。
3.16位系統目錄即 SYSTEM 目錄。
4.Windows目錄。
5.載入 DLL 時所在的當前目錄。
6.PATH環境變數中列出的目錄。

大佬部落格中提到XP以後釋出的版本中預設都是未開啟DLL安全搜尋的（我沒裝XP虛機，只有win7和win10，找不到這個登錄檔，如果有人知道原因麻煩跟我說一聲），這就讓DLL劫持有了可乘之機，但為了進一步防止被劫持，微軟又將常被利用的DLL放在system32目錄下，並禁止這些登錄檔被非system32下的呼叫，路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

win10下的KnowDLLs：

win7下的KnowDLLs:

這就意味著，利用上述存在於KnowDLLs登錄檔項下的dll去進行劫持，是不會被系統載入的。
但是在載入DLL過程中，系統都是先在程式目錄載入DLL，如果沒有找到就按照規定的順序去搜索，但如果DLL的路徑沒有在system32中，攻擊者就有可能偽造一個dll被程式載入（注意：該DLL需要與系統載入的DLL名稱相同，匯出函式表相同，並將DLL中的函式轉向到原有的DLL，這時程式的載入流程為：程式啟動→系統載入偽造DLL→真實DLL→原流程）

以上漏洞原理皆為參考Freebuf上的一篇文章，侵刪
原文傳送門