QQ拼音输入法6.0 DLL劫持实现提权

前言：也想了解下关于DLL的劫持，但从未没有实操过，看了倾旋的鱼叉攻击的案例，自己也想复现下并且学习

劫持DLL一般有两种方法：

第一种方法：只需要找到缺少的DLL路径生成恶意的DLL放入对应的路径即可，常使用的工具Process Monitor，缺点是有些DLL路径是在权高的文件夹中。无一定权限没法操作

第二种方法：使用Process Monitor查看程序所加载的DLL，分析是否由于加载顺序而导致的恶意加载DLL，我们自己再通过原加载DLL导出表的函数来制作一个正常的dll文件，并且包含我们要实现的功能，实现提权等操作！

这里用的第二种！

---

测试的QQ拼音版本为：QQ拼音输入法 v6.0.5013.400

下载地址：https://www.upandashi.com/soft/7136.html

1、测试目录是否可写cacls *

2、发现目录everyone可写，并且当前.dll加载也可控，那么直接生成dll文件放到该目录中，注意系统位数

3、链接原DLL文件中的导出表中的函数，这里通过dll_hijacker.py

dll_hijacker.py:https://raw.githubusercontent.com/zhaoed/DLL_Hijacker/master/DLL_Hijacker.py

python2 dll_hijacker.py

4、程序加载外部DLL成功，如下：

总结：

1、可通过Process Monitor进行观察来查看指定程序的dll的加载顺序，来进行是否支持dll劫持

2、DLL劫持都需要配合目录权限，其实还是有点鸡肋的，看对方的服务了！