Dll Hijacking
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty wenk: meld aan by Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin verdien bounties tot $100,000!
DLL Hijacking behels die manipulasie van 'n vertroude toepassing om 'n kwaadwillige DLL te laai. Hierdie term sluit verskeie taktieke in soos DLL Spoofing, Injection, en Side-Loading. Dit word hoofsaaklik gebruik vir kode-uitvoering, om volharding te bereik, en, minder algemeen, privilige-escalasie. Ten spyte van die fokus op escalasie hier, bly die metode van hijacking konsekwent oor doelwitte.
Verskeie metodes word gebruik vir DLL hijacking, elk met sy doeltreffendheid afhangende van die toepassing se DLL-laai strategie:
DLL Vervanging: Om 'n egte DLL met 'n kwaadwillige een te vervang, opsioneel met DLL Proxying om die oorspronklike DLL se funksionaliteit te behou.
DLL Soekorde Hijacking: Om die kwaadwillige DLL in 'n soekpad voor die legitieme een te plaas, wat die toepassing se soekpatroon benut.
Phantom DLL Hijacking: Om 'n kwaadwillige DLL te skep vir 'n toepassing om te laai, dinkend dit is 'n nie-bestaande vereiste DLL.
DLL Herleiding: Om soekparameters soos %PATH%
of .exe.manifest
/ .exe.local
lêers te wysig om die toepassing na die kwaadwillige DLL te lei.
WinSxS DLL Vervanging: Om die legitieme DLL met 'n kwaadwillige teenhanger in die WinSxS-gids te vervang, 'n metode wat dikwels geassosieer word met DLL side-loading.
Relatiewe Pad DLL Hijacking: Om die kwaadwillige DLL in 'n gebruiker-beheerde gids met die gekopieerde toepassing te plaas, wat lyk soos Binary Proxy Execution tegnieke.
Die mees algemene manier om ontbrekende Dlls binne 'n stelsel te vind, is om procmon van sysinternals te loop, die volgende 2 filters in te stel:
en net die Lêerstelselaktiwiteit te wys:
As jy op soek is na ontbrekende dlls in die algemeen, moet jy dit vir 'n paar sekondes laat loop. As jy op soek is na 'n ontbrekende dll binne 'n spesifieke uitvoerbare, moet jy 'n ander filter soos "Prosesnaam" "bevat" "<exec naam>" instel, dit uitvoer, en stop om gebeurtenisse te vang.
Om privilige te verhoog, is die beste kans wat ons het om 'n dll te kan skryf wat 'n privilige proses sal probeer laai in een van die plekke waar dit gesoek gaan word. Daarom sal ons in staat wees om **'n dll te skryf in 'n gids waar die dll gesoek word voordat die gids waar die oorspronklike dll is (weird geval), of ons sal in staat wees om te skryf in 'n gids waar die dll gesoek gaan word en die oorspronklike dll bestaan nie in enige gids nie.
Binne die Microsoft dokumentasie kan jy vind hoe die Dlls spesifiek gelaai word.
Windows toepassings soek na DLLs deur 'n stel vooraf gedefinieerde soekpade te volg, wat aan 'n spesifieke volgorde voldoen. Die probleem van DLL hijacking ontstaan wanneer 'n skadelike DLL strategies in een van hierdie gidse geplaas word, wat verseker dat dit gelaai word voordat die egte DLL. 'n Oplossing om dit te voorkom, is om te verseker dat die toepassing absolute pades gebruik wanneer dit na die DLLs verwys wat dit benodig.
Jy kan die DLL soekorde op 32-bit stelsels hieronder sien:
Die gids waaruit die toepassing gelaai is.
Die stelseldirectory. Gebruik die GetSystemDirectory funksie om die pad van hierdie gids te kry.(C:\Windows\System32)
Die 16-bit stelseldirectory. Daar is geen funksie wat die pad van hierdie gids verkry nie, maar dit word gesoek. (C:\Windows\System)
Die Windows-gids. Gebruik die GetWindowsDirectory funksie om die pad van hierdie gids te kry.
(C:\Windows)
Die huidige gids.
Die gidse wat in die PATH omgewing veranderlike gelys is. Let daarop dat dit nie die per-toepassing pad insluit wat deur die App Paths register sleutel gespesifiseer is nie. Die App Paths sleutel word nie gebruik wanneer die DLL soekpad bereken word nie.
Dit is die standaard soekorde met SafeDllSearchMode geaktiveer. Wanneer dit gedeaktiveer is, styg die huidige gids na die tweede plek. Om hierdie funksie te deaktiveer, skep die HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode registerwaarde en stel dit op 0 (standaard is geaktiveer).
As die LoadLibraryEx funksie met LOAD_WITH_ALTERED_SEARCH_PATH aangeroep word, begin die soek in die gids van die uitvoerbare module wat LoadLibraryEx laai.
Laastens, let daarop dat 'n dll gelaai kan word wat die absolute pad aandui in plaas van net die naam. In daardie geval sal daardie dll slegs in daardie pad gesoek word (as die dll enige afhanklikhede het, sal hulle gesoek word soos net gelaai deur naam).
Daar is ander maniere om die soekorde te verander, maar ek gaan dit nie hier verduidelik nie.
Sekere uitsonderings op die standaard DLL soekorde word in Windows dokumentasie opgemerk:
Wanneer 'n DLL wat sy naam met een wat reeds in geheue gelaai is, deel, die stelsel omseil die gewone soek. In plaas daarvan, voer dit 'n kontrole vir herleiding en 'n manifest uit voordat dit na die DLL wat reeds in geheue is, terugkeer. In hierdie scenario, voer die stelsel nie 'n soek na die DLL uit nie.
In gevalle waar die DLL erken word as 'n kenner DLL vir die huidige Windows weergawe, sal die stelsel sy weergawe van die kenner DLL gebruik, saam met enige van sy afhanklike DLLs, en die soekproses oorslaan. Die register sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs hou 'n lys van hierdie kenner DLLs.
As 'n DLL afhanklikhede het, word die soek na hierdie afhanklike DLLs uitgevoer asof hulle slegs deur hul module name aangedui is, ongeag of die aanvanklike DLL deur 'n volle pad geïdentifiseer is.
Vereistes:
Identifiseer 'n proses wat onder verskillende privileges (horisontale of laterale beweging) werk of sal werk, wat 'n DLL ontbreek.
Verseker dat skrywe toegang beskikbaar is vir enige gids waarin die DLL gesoek gaan word. Hierdie plek kan die gids van die uitvoerbare wees of 'n gids binne die stelselpaaie.
Ja, die vereistes is moeilik om te vind aangesien dit standaard 'n bietjie vreemd is om 'n bevoorregte uitvoerbare te vind wat 'n dll ontbreek en dit is selfs meer vreemd om skrywe toestemmings op 'n stelselpaaie gids te hê (jy kan nie standaard nie). Maar, in verkeerd geconfigureerde omgewings is dit moontlik. In die geval dat jy gelukkig is en jy voldoen aan die vereistes, kan jy die UACME projek nagaan. Alhoewel die hoofdoel van die projek is om UAC te omseil, kan jy daar 'n PoC van 'n Dll hijacking vir die Windows weergawe vind wat jy kan gebruik (waarskynlik net die pad van die gids waar jy skrywe toestemmings het, verander).
Let daarop dat jy jou toestemmings in 'n gids kan nagaan deur:
En kontroleer toestemmings van alle vouers binne PATH:
U kan ook die invoere van 'n uitvoerbare lêer en die uitvoere van 'n dll nagaan met:
Vir 'n volledige gids oor hoe om Dll Hijacking te misbruik om bevoegdhede te verhoog met toestemmings om in 'n Stelselpaaie-gids te skryf, kyk:
Writable Sys Path +Dll Hijacking PrivescWinpeas sal kyk of jy skryftoestemmings het op enige gids binne die stelselpaaie. Ander interessante geoutomatiseerde gereedskap om hierdie kwesbaarheid te ontdek, is PowerSploit funksies: Find-ProcessDLLHijack, Find-PathDLLHijack en Write-HijackDll.
In die geval dat jy 'n uitbuitbare scenario vind, is een van die belangrikste dinge om dit suksesvol te benut, om 'n dll te skep wat ten minste al die funksies wat die uitvoerbare sal invoer, uitvoer. In elk geval, let daarop dat Dll Hijacking handig is om te verhoog van Medium Integriteitsvlak na Hoë (om UAC te omseil) of van Hoë Integriteit na SYSTEM. Jy kan 'n voorbeeld vind van hoe om 'n geldige dll te skep binne hierdie dll hijacking studie gefokus op dll hijacking vir uitvoering: https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows. Boonop kan jy in die volgende afdeling 'n paar basiese dll kodes vind wat nuttig kan wees as sjablone of om 'n dll met nie vereiste funksies ge-exporteer te skep.
Basies is 'n Dll proxy 'n Dll wat in staat is om jou kwaadwillige kode uit te voer wanneer dit gelaai word, maar ook om te bloot te stel en te werk soos verwag deur alle oproepe na die werklike biblioteek te relaye.
Met die gereedskap DLLirant of Spartacus kan jy eintlik 'n uitvoerbare aandui en die biblioteek kies wat jy wil proxify en 'n proxified dll genereer of die Dll aandui en 'n proxified dll genereer.
Kry rev shell (x64):
Kry 'n meterpreter (x86):
Skep 'n gebruiker (x86 ek het nie 'n x64 weergawe gesien):
Let daarop dat die Dll wat jy saamstel in verskeie gevalle verskeie funksies moet uitvoer wat deur die slagoffer proses gelaai gaan word, as hierdie funksies nie bestaan nie, sal die binarie nie in staat wees om hulle te laai nie en die eksploit sal misluk.
Foutbeloning wenk: meld aan vir Intigriti, 'n premium foutbeloning platform geskep deur hackers, vir hackers! Sluit vandag by ons aan by https://go.intigriti.com/hacktricks en begin om belonings tot $100,000 te verdien!
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)