Dll Hijacking
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug-Bounty-Tipp: Melden Sie sich an für Intigriti, eine Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns bei https://go.intigriti.com/hacktricks heute bei und beginnen Sie, Prämien von bis zu 100.000 $ zu verdienen!
DLL-Hijacking beinhaltet die Manipulation einer vertrauenswürdigen Anwendung, um eine bösartige DLL zu laden. Dieser Begriff umfasst mehrere Taktiken wie DLL Spoofing, Injection und Side-Loading. Es wird hauptsächlich für die Codeausführung, das Erreichen von Persistenz und seltener für die Eskalation von Rechten verwendet. Trotz des Fokus auf Eskalation bleibt die Methode des Hijackings über die Ziele hinweg konsistent.
Es werden mehrere Methoden für DLL-Hijacking eingesetzt, wobei jede je nach DLL-Lade-Strategie der Anwendung unterschiedlich effektiv ist:
DLL-Ersetzung: Ersetzen einer echten DLL durch eine bösartige, optional unter Verwendung von DLL-Proxying, um die Funktionalität der ursprünglichen DLL zu erhalten.
DLL-Suchreihenfolge-Hijacking: Platzieren der bösartigen DLL in einem Suchpfad vor der legitimen, um das Suchmuster der Anwendung auszunutzen.
Phantom-DLL-Hijacking: Erstellen einer bösartigen DLL, die von einer Anwendung geladen wird, die denkt, es sei eine nicht vorhandene erforderliche DLL.
DLL-Umleitung: Ändern von Suchparametern wie %PATH%
oder .exe.manifest
/ .exe.local
-Dateien, um die Anwendung auf die bösartige DLL zu lenken.
WinSxS DLL-Ersetzung: Ersetzen der legitimen DLL durch eine bösartige im WinSxS-Verzeichnis, eine Methode, die oft mit DLL-Side-Loading in Verbindung gebracht wird.
Relative Pfad-DLL-Hijacking: Platzieren der bösartigen DLL in einem benutzerkontrollierten Verzeichnis mit der kopierten Anwendung, ähnlich den Techniken der Binary Proxy Execution.
Der häufigste Weg, um fehlende DLLs in einem System zu finden, besteht darin, procmon von Sysinternals auszuführen und die folgenden 2 Filter einzustellen:
und nur die Dateisystemaktivität anzuzeigen:
Wenn Sie nach fehlenden DLLs im Allgemeinen suchen, lassen Sie dies einige Sekunden laufen. Wenn Sie nach einer fehlenden DLL in einer bestimmten ausführbaren Datei suchen, sollten Sie einen anderen Filter wie "Prozessname" "enthält" "<exec name>" setzen, ihn ausführen und die Ereignisaufnahme stoppen.
Um die Privilegien zu eskalieren, haben wir die beste Chance, wenn wir in der Lage sind, eine DLL zu schreiben, die ein privilegierter Prozess versuchen wird zu laden an einem Ort, wo sie gesucht wird. Daher werden wir in der Lage sein, eine DLL in einem Ordner zu schreiben, wo die DLL vor dem Ordner, wo die ursprüngliche DLL ist (seltsamer Fall), oder wir werden in der Lage sein, in einen Ordner zu schreiben, wo die DLL gesucht wird und die ursprüngliche DLL nicht in einem Ordner existiert.
In der Microsoft-Dokumentation finden Sie, wie die DLLs spezifisch geladen werden.
Windows-Anwendungen suchen nach DLLs, indem sie einer Reihe von vordefinierten Suchpfaden folgen, die einer bestimmten Reihenfolge entsprechen. Das Problem des DLL-Hijackings tritt auf, wenn eine schädliche DLL strategisch in einem dieser Verzeichnisse platziert wird, um sicherzustellen, dass sie vor der authentischen DLL geladen wird. Eine Lösung zur Vermeidung dessen ist, sicherzustellen, dass die Anwendung absolute Pfade verwendet, wenn sie auf die benötigten DLLs verweist.
Sie können die DLL-Suchreihenfolge auf 32-Bit-Systemen unten sehen:
Das Verzeichnis, aus dem die Anwendung geladen wurde.
Das Systemverzeichnis. Verwenden Sie die GetSystemDirectory Funktion, um den Pfad dieses Verzeichnisses zu erhalten.(C:\Windows\System32)
Das 16-Bit-Systemverzeichnis. Es gibt keine Funktion, die den Pfad dieses Verzeichnisses erhält, aber es wird durchsucht. (C:\Windows\System)
Das Windows-Verzeichnis. Verwenden Sie die GetWindowsDirectory Funktion, um den Pfad dieses Verzeichnisses zu erhalten. (C:\Windows)
Das aktuelle Verzeichnis.
Die Verzeichnisse, die in der PATH-Umgebungsvariablen aufgeführt sind. Beachten Sie, dass dies nicht den pro-Anwendungspfad umfasst, der durch den App Paths-Registrierungsschlüssel angegeben ist. Der App Paths-Schlüssel wird nicht verwendet, wenn der DLL-Suchpfad berechnet wird.
Das ist die Standard-Suchreihenfolge mit SafeDllSearchMode aktiviert. Wenn es deaktiviert ist, steigt das aktuelle Verzeichnis auf den zweiten Platz. Um diese Funktion zu deaktivieren, erstellen Sie den HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode-Registrierungswert und setzen Sie ihn auf 0 (Standard ist aktiviert).
Wenn die LoadLibraryEx Funktion mit LOAD_WITH_ALTERED_SEARCH_PATH aufgerufen wird, beginnt die Suche im Verzeichnis des ausführbaren Moduls, das LoadLibraryEx lädt.
Beachten Sie schließlich, dass eine DLL geladen werden könnte, indem der absolute Pfad angegeben wird, anstatt nur den Namen. In diesem Fall wird diese DLL nur in diesem Pfad gesucht (wenn die DLL Abhängigkeiten hat, werden diese wie gerade nach Namen geladen gesucht).
Es gibt andere Möglichkeiten, die Suchreihenfolge zu ändern, aber ich werde sie hier nicht erklären.
Bestimmte Ausnahmen von der standardmäßigen DLL-Suchreihenfolge sind in der Windows-Dokumentation vermerkt:
Wenn eine DLL, die denselben Namen wie eine bereits im Speicher geladene hat, gefunden wird, umgeht das System die übliche Suche. Stattdessen wird eine Überprüfung auf Umleitung und ein Manifest durchgeführt, bevor auf die bereits im Speicher befindliche DLL zurückgegriffen wird. In diesem Szenario führt das System keine Suche nach der DLL durch.
In Fällen, in denen die DLL als bekannte DLL für die aktuelle Windows-Version erkannt wird, verwendet das System seine Version der bekannten DLL sowie alle abhängigen DLLs, ohne den Suchprozess durchzuführen. Der Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs enthält eine Liste dieser bekannten DLLs.
Sollte eine DLL Abhängigkeiten haben, wird die Suche nach diesen abhängigen DLLs so durchgeführt, als ob sie nur durch ihre Modulnamen angegeben wären, unabhängig davon, ob die ursprüngliche DLL über einen vollständigen Pfad identifiziert wurde.
Anforderungen:
Identifizieren Sie einen Prozess, der unter unterschiedlichen Privilegien (horizontale oder laterale Bewegung) arbeitet oder arbeiten wird, der eine DLL fehlt.
Stellen Sie sicher, dass Schreibzugriff für ein Verzeichnis verfügbar ist, in dem die DLL gesucht wird. Dieser Ort könnte das Verzeichnis der ausführbaren Datei oder ein Verzeichnis innerhalb des Systempfads sein.
Ja, die Anforderungen sind kompliziert zu finden, da es standardmäßig seltsam ist, eine privilegierte ausführbare Datei ohne eine DLL zu finden und es ist sogar noch seltsamer, Schreibberechtigungen für einen Systempfad-Ordner zu haben (standardmäßig können Sie das nicht). Aber in falsch konfigurierten Umgebungen ist dies möglich. Falls Sie Glück haben und die Anforderungen erfüllen, könnten Sie das UACME Projekt überprüfen. Auch wenn das Hauptziel des Projekts darin besteht, UAC zu umgehen, finden Sie dort möglicherweise einen PoC für ein DLL-Hijacking für die Windows-Version, die Sie verwenden können (wahrscheinlich müssen Sie nur den Pfad des Ordners ändern, in dem Sie Schreibberechtigungen haben).
Beachten Sie, dass Sie Ihre Berechtigungen in einem Ordner überprüfen können, indem Sie:
Und überprüfen Sie die Berechtigungen aller Ordner im PATH:
Sie können auch die Importe einer ausführbaren Datei und die Exporte einer DLL mit folgendem Befehl überprüfen:
Für eine vollständige Anleitung, wie man Dll Hijacking ausnutzt, um Privilegien zu eskalieren mit Berechtigungen zum Schreiben in einen System Path-Ordner, siehe:
Writable Sys Path +Dll Hijacking PrivescWinpeas überprüft, ob Sie Schreibberechtigungen für einen Ordner im System-Pfad haben. Andere interessante automatisierte Werkzeuge zur Entdeckung dieser Schwachstelle sind PowerSploit-Funktionen: Find-ProcessDLLHijack, Find-PathDLLHijack und Write-HijackDll.
Falls Sie ein ausnutzbares Szenario finden, wäre eine der wichtigsten Dinge, um es erfolgreich auszunutzen, eine DLL zu erstellen, die mindestens alle Funktionen exportiert, die die ausführbare Datei von ihr importieren wird. Beachten Sie jedoch, dass Dll Hijacking nützlich ist, um von einem mittleren Integritätslevel auf ein hohes (UAC umgehen) oder von hoher Integrität auf SYSTEM. Sie finden ein Beispiel dafür, wie man eine gültige DLL erstellt in dieser Dll Hijacking-Studie, die sich auf Dll Hijacking zur Ausführung konzentriert: https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows. Darüber hinaus finden Sie im nächsten Abschnitt einige grundlegende DLL-Codes, die als Vorlagen nützlich sein könnten oder um eine DLL mit nicht erforderlichen exportierten Funktionen zu erstellen.
Im Grunde ist ein Dll-Proxy eine DLL, die in der Lage ist, Ihren schädlichen Code auszuführen, wenn sie geladen wird, aber auch auszusetzen und zu arbeiten, wie erwartet, indem sie alle Aufrufe an die echte Bibliothek weiterleitet.
Mit dem Tool DLLirant oder Spartacus können Sie tatsächlich eine ausführbare Datei angeben und die Bibliothek auswählen, die Sie proxifizieren möchten, und eine proxifizierte DLL generieren oder die DLL angeben und eine proxifizierte DLL generieren.
Get rev shell (x64):
Holen Sie sich einen Meterpreter (x86):
Erstellen Sie einen Benutzer (x86, ich habe keine x64-Version gesehen):
Beachte, dass in mehreren Fällen die Dll, die du kompilierst, mehrere Funktionen exportieren muss, die vom Opferprozess geladen werden, wenn diese Funktionen nicht existieren, kann die Binary sie nicht laden und der Exploit wird fehlschlagen.
Bug-Bounty-Tipp: Melden Sie sich an für Intigriti, eine Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns heute bei https://go.intigriti.com/hacktricks und beginnen Sie, Prämien von bis zu 100.000 $ zu verdienen!
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)