dll劫持

DLL搜索路径和DLL劫持 环境：XP SP3 VS2005 作者：magictong 为什么要把DLL搜索路径（DLL ORDER）和DLL劫持（DLL Hajack）拿到一起讲呢？呵呵，其实没啥深意，仅仅是二者有因果关系而已。可以讲正是因为Windows系统下面DLL的搜索路径存在的漏洞才有了后来的一段时间的DLL劫持大肆流行。 最近（其实不是最近，哈，是以前分析过，断断续续的……）简单分析了一个DLL劫持下载者的行为，感觉有必要写点东西说明一下。其实DLL劫持是比较好预防的，从编程规范上我们可以进行规避（后面会专门讲到），从实时防护的角度来讲我们也可以想出一些办法进行拦截。新的DLL劫持者基本都是通过当前路径来入侵，一些老的DLL劫持者一般都是通过exe的安装目录来入侵的，为什么会这样，后面还会讲到。 要搞清DLL劫持的原理，首先要搞清DLL搜索路径，到哪去搞清？当然是问微软啦！MSDN上面有一篇专门讲DLL搜索顺序的文章（Dynamic-Link Library Search Order http://msdn.microsoft.com/en-us/library/ms682586%28VS.85%29.aspx），虽然是英文的但是并不复杂讲得很清楚，大家如果对这块兴趣大的话可以仔细研读下，我就不翻译了。 Dynamic-Link Library Search

Dll注入技术之劫持注入 测试环境 工具:FileCleaner2.0 和 lpk.dll 主要思路 利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数. 引用网络中的原理讲解 ●背景知识● 首先我们要了解Windows为什么可以DLL劫持呢？主要是因为Windows的资源共享机制。为了尽可能多得安排资源共享，微软建议多个应用程序共享的任何模块应该放在Windows的系统目录中，如kernel32.dll，这样能够方便找到。但是随着时间的推移，安装程序会用旧文件或者未向后兼容的新文件来替换系统目录下的文件，这样会使一些其他的应用程序无法正确执行，因此，微软改变了策略，建议应用程序将所有文件放到自己的目录中去，而不要去碰系统目录下的任何东西。 为了提供这样的功能，在Window2000开始，微软加了一个特性，强制操作系统的加载程序首先从应用程序目录中加载模块，只有当加载程序无法在应用程序目录中找到文件，才搜索其他目录。利用系统的这个特性，就可以使应用程序强制加载我们指定的DLL做一些特殊的工作。 举个例子来说吧，Windows的系统目录下有一个名为LPK.DLL的系统文件，程序运行时会在c:\Windows\system32文件夹下找到这个DLL文件并加载它。如打开记事本程序

最近在搞内网，需要实现免杀后门，大佬推荐了dll劫持，DLL劫持后，能干很多事情，比如杀软对某些厂商的软件是实行白名单的，你干些敏感操作都是不拦截，不提示的。还有留后门，提权等等。本文主要介绍如何检测dll劫持，以及实例演示。 DLL劫持 dll文件是什么？ DLL(Dynamic Link Library)文件为动态链接库文件，又称"应用程序拓展"，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件，一个DLL文件也可能被不同的应用程序使用，这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去按照顺序搜索这些特定目录时下查找这个DLL,只要黑客能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现"劫持" dll原理利用 windows xp sp2֮ǰ Windows查找DLL的目录以及对应的顺序： 1. 进程对应的应用程序所在目录； 2. 当前目录（Current Directory）； 4. 16位系统目录； 6. PATH环境变量中的各个目录； 例如：对于文件系统

实验环境： win7 、 kali 实验工具：微信；BDF 劫持工具，可用于 DLL 注入； Process Explorer 任务管理工具，本实验中用于查找微信程序调用的 DLL 文件 在 win7 中安装微信 BDF 、 Process Explore 在 windows 启动 pe 、微信 在 pe 中找到 wechat 在 view 中找到 dlls 记住微信的安装路径，查看微信的 libEGL.dll 文件 回到 kali 执行 nautilus ./ 打开窗口 将 libEGL.dll 放在该文件路径下 执行命令处理 dll 文件 查看 backdoored 将处理后的 dll 文件通过 ftp 上传到 window 中 开启 postgresql 启用 msfconsole 使用 exploit 设置 payload 设置监听地址和端口，查看 在win7中打开微信，就能在kali中接受到反弹的shell 来源： https://www.cnblogs.com/shayanboy/p/11644960.html

最近刚好在做PPT的dll劫持测试，现在就随便拿一个程序来练练手。增加一下熟练度。本测试纯属学习测试过程，不可用于非法操作！！！ 一、测试环境 工具下载地址： (1)BDF，劫持工具，可用于DLL注入，https://github.com/cream492/the- backdoor-factory (2)ProcessExplorer https://process-explorer.en.softonic.com/任务管理工具，本实验中用于查找微信程序调用的 DLL 文件 二、测试过程 1 在 Win7 虚拟机中打开微信登录窗口，需要扫描登录的窗口即可；然 后开启 ProcessExplorer，在运行程序列表中找到微信，然后在菜单栏中找“View”—>“LowerPaneView”—>“DLLs”,或者 ctrl+d， 接下来可以看到微信登录页面调用的动态链接库 如下图所示 测试使用的DLL是libEGL.DLL 文件 理论在微信安装目录下其他的DLL文件都可以 有待测试 2 在kali 中下载 Backdoor - factory www.gendan5.com 执行 ./backdoor.py -h 出现测试安装是否成功 将 Win7 安装的微信程序目录中的 libEGL.dll 拷贝到 kali 系统中，放于 the-backdoor-factory 下，运行命令如下：

0x00 前言 　　未知攻焉知防，攻击者在获取服务器权限后，通常会用一些后门技术来维持服务器权限，服务器一旦被植入后门，攻击者如入无人之境。这里整理一些window服务端常见的后门技术，了解攻击者的常见后门技术，有助于更好去发现服务器安全问题。 常见的后门技术列表： 1、隐藏、克隆账户 2、shift后门 3、启动项、计划任务 4、劫持技术 5、Powershell后门 6、远控软件 7、嗅探技术 0x01 隐藏、克隆账号 window 隐藏系统用户制作： 1、CMD命令行下，建立了一个用户名为“test$”，密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。 PS:CMD命令行使用"net user",看不到"test$"这个账号，但在控制面板和本地用户和组是可以显示此用户的。 2、“开始”→“运行”，输入“regedt32.exe”后回车,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”，单机右建权限，把名叫：administrator的用户给予：完全控制以及读取的权限，在后面打勾就行，然后关闭注册表编辑器，再次打开即可。 3、来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，点击test$用户，得到在右边显示的键值中的“类型”一项显示为0x3ec