Editor's Note
可以尝试改改代码,继续深入
安全族 Author Met32
安全族
长期分享安全技术文章,跟进最新安全研究,记录安全之路
首先简单说一下实现功能:当目标应用程序运行中的状态时,将DLL注入到该目标应用程序内存并执行DLL中的代码。
1. 首先编写我们的DLL
DWORD Threads(LPVOID s){ for(;;){ Sleep(1000); printf("线程注入OK...\n"); }}BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ){ switch(ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)Threads,0,0,NULL); break; } return TRUE;}
当DLL被初次映射到进程的地址空间中时,系统将调用该DLL的DllMain函数,然后创建一个线程,执行Threads这个函数的代码。
2. 编写目标的应用程序
这里通过创建了一个线程,执行fun函数,比较简单
//被执行的代码
void fun(){
for(int i=0;i<=10;i++){ Sleep(1000); printf("Fun()...\n"); }}
DWORD threads(LPVOID s){ fun(); return 0;}
int main(int argc, char* argv[]){ HANDLE handle = CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)threads,0,0,NULL); getchar(); return 0;}
这就是我们目标应用的具体功能
3.进行远程线程注入
首先说一下几个步骤
1.获取进程句柄 2.计算dll名字 3.给目标进程申请空间 4.拷贝dll进去 5.获取模块地址 6.获取函数地址7.创建远程线程 加载dll 8.关闭句柄
加载DLL的话,肯定是要用到LoadLibrary函数进行加载,而这个函数在kernel32.dll 这个dll里面。而exe文件都会包含这个dll的,就属于系统提供的。
代码如下:
//注入代码如下
void LoadDll(DWORD Did,char* pathname){ //1.获取进程句柄 HANDLE hprocess = OpenProcess(PROCESS_ALL_ACCESS,NULL,Did); //2.计算dll名字 DWORD dwlength = strlen(pathname)+1; //3.给目标进程申请空间 LPSTR FileRemote = (LPSTR)VirtualAllocEx(hprocess,NULL,dwlength,MEM_COMMIT,PAGE_READWRITE); //4.拷贝dll进去 WriteProcessMemory(hprocess,(LPVOID)FileRemote,(LPVOID)pathname,dwlength,NULL); //5.获取模块地址 HMODULE hkernel = GetModuleHandle("Kernel32.dll"); //6.获取函数地址 DWORD loadaddr =(DWORD)GetProcAddress(hkernel,"LoadLibraryA"); //7.创建远程线程 加载dll
DWORD threadID; HANDLE t = CreateRemoteThread(hprocess,NULL,0,(LPTHREAD_START_ROUTINE)loadaddr,(LPVOID)FileRemote,0,&threadID); //8.关闭句柄 CloseHandle(t);
}int main(int argc, char* argv[]){ LoadDll(14144,"C:\\Users\\Administrator\\Desktop\\ASD.dll");//PID和DLL printf("按下回车终止\n"); getchar(); return 0;}
可以看到我们的PID是22484,这里也可以完全自动获取PID,懒得写了
当我们运行我们的远程线程注入后,可以看到目标进程执行了我们注入进去的DLL代码,为此注入成功!
当然在权限维持的时候,有的DLL被写成后门注入进去,这样更不易发现。