Dll Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: regístrate en Intigriti, una plataforma de recompensas por errores creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
El DLL Hijacking implica manipular una aplicación de confianza para cargar un DLL malicioso. Este término abarca varias tácticas como DLL Spoofing, Injection, y Side-Loading. Se utiliza principalmente para la ejecución de código, logrando persistencia y, menos comúnmente, escalada de privilegios. A pesar del enfoque en la escalada aquí, el método de secuestro sigue siendo consistente a través de los objetivos.
Se emplean varios métodos para el DLL hijacking, cada uno con su efectividad dependiendo de la estrategia de carga de DLL de la aplicación:
Reemplazo de DLL: Intercambiar un DLL genuino por uno malicioso, opcionalmente utilizando DLL Proxying para preservar la funcionalidad del DLL original.
Secuestro del Orden de Búsqueda de DLL: Colocar el DLL malicioso en una ruta de búsqueda antes del legítimo, explotando el patrón de búsqueda de la aplicación.
Secuestro de DLL Fantasma: Crear un DLL malicioso para que una aplicación lo cargue, pensando que es un DLL requerido que no existe.
Redirección de DLL: Modificar parámetros de búsqueda como %PATH%
o archivos .exe.manifest
/ .exe.local
para dirigir la aplicación al DLL malicioso.
Reemplazo de DLL en WinSxS: Sustituir el DLL legítimo por un contraparte malicioso en el directorio WinSxS, un método a menudo asociado con el side-loading de DLL.
Secuestro de DLL con Ruta Relativa: Colocar el DLL malicioso en un directorio controlado por el usuario con la aplicación copiada, pareciendo técnicas de Ejecución de Proxy Binario.
La forma más común de encontrar DLLs faltantes dentro de un sistema es ejecutando procmon de sysinternals, configurando los siguientes 2 filtros:
y solo mostrar la Actividad del Sistema de Archivos:
Si estás buscando dlls faltantes en general debes dejar esto funcionando por algunos segundos. Si estás buscando un dll faltante dentro de un ejecutable específico deberías establecer otro filtro como "Nombre del Proceso" "contiene" "<nombre del ejecutable>", ejecutarlo y detener la captura de eventos.
Para escalar privilegios, la mejor oportunidad que tenemos es poder escribir un dll que un proceso privilegiado intentará cargar en alguno de los lugares donde se va a buscar. Por lo tanto, podremos escribir un dll en una carpeta donde el dll se busca antes de la carpeta donde se encuentra el dll original (caso extraño), o podremos escribir en alguna carpeta donde se va a buscar el dll y el dll original no existe en ninguna carpeta.
Dentro de la documentación de Microsoft puedes encontrar cómo se cargan específicamente los DLLs.
Las aplicaciones de Windows buscan DLLs siguiendo un conjunto de rutas de búsqueda predefinidas, adhiriéndose a una secuencia particular. El problema del DLL hijacking surge cuando un DLL dañino se coloca estratégicamente en uno de estos directorios, asegurando que se cargue antes que el DLL auténtico. Una solución para prevenir esto es asegurarse de que la aplicación utilice rutas absolutas al referirse a los DLLs que requiere.
Puedes ver el orden de búsqueda de DLL en sistemas de 32 bits a continuación:
El directorio desde el cual se cargó la aplicación.
El directorio del sistema. Usa la función GetSystemDirectory para obtener la ruta de este directorio.(C:\Windows\System32)
El directorio del sistema de 16 bits. No hay función que obtenga la ruta de este directorio, pero se busca. (C:\Windows\System)
El directorio de Windows. Usa la función GetWindowsDirectory para obtener la ruta de este directorio.
(C:\Windows)
El directorio actual.
Los directorios que están listados en la variable de entorno PATH. Ten en cuenta que esto no incluye la ruta por aplicación especificada por la clave de registro App Paths. La clave App Paths no se utiliza al calcular la ruta de búsqueda de DLL.
Ese es el orden de búsqueda predeterminado con SafeDllSearchMode habilitado. Cuando está deshabilitado, el directorio actual asciende al segundo lugar. Para deshabilitar esta función, crea el valor de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode y configúralo en 0 (el valor predeterminado está habilitado).
Si la función LoadLibraryEx se llama con LOAD_WITH_ALTERED_SEARCH_PATH, la búsqueda comienza en el directorio del módulo ejecutable que LoadLibraryEx está cargando.
Finalmente, ten en cuenta que un dll podría ser cargado indicando la ruta absoluta en lugar de solo el nombre. En ese caso, ese dll solo se buscará en esa ruta (si el dll tiene alguna dependencia, se buscarán como si se cargaran solo por nombre).
Hay otras formas de alterar el orden de búsqueda, pero no voy a explicarlas aquí.
Ciertas excepciones al orden de búsqueda estándar de DLL se anotan en la documentación de Windows:
Cuando se encuentra un DLL que comparte su nombre con uno ya cargado en memoria, el sistema omite la búsqueda habitual. En su lugar, realiza una verificación de redirección y un manifiesto antes de recurrir al DLL ya en memoria. En este escenario, el sistema no realiza una búsqueda del DLL.
En casos donde el DLL es reconocido como un DLL conocido para la versión actual de Windows, el sistema utilizará su versión del DLL conocido, junto con cualquiera de sus DLLs dependientes, omitindo el proceso de búsqueda. La clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs contiene una lista de estos DLLs conocidos.
Si un DLL tiene dependencias, la búsqueda de estos DLLs dependientes se lleva a cabo como si se indicaran solo por sus nombres de módulo, independientemente de si el DLL inicial se identificó a través de una ruta completa.
Requisitos:
Identificar un proceso que opera o operará bajo diferentes privilegios (movimiento horizontal o lateral), que carece de un DLL.
Asegurarse de que hay acceso de escritura disponible para cualquier directorio en el que se buscará el DLL. Esta ubicación podría ser el directorio del ejecutable o un directorio dentro de la ruta del sistema.
Sí, los requisitos son complicados de encontrar ya que por defecto es un poco extraño encontrar un ejecutable privilegiado que carezca de un dll y es aún más extraño tener permisos de escritura en una carpeta de ruta del sistema (no puedes por defecto). Pero, en entornos mal configurados esto es posible. En el caso de que tengas suerte y te encuentres cumpliendo con los requisitos, podrías revisar el proyecto UACME. Aunque el objetivo principal del proyecto es eludir UAC, puedes encontrar allí un PoC de un Dll hijacking para la versión de Windows que puedes usar (probablemente solo cambiando la ruta de la carpeta donde tienes permisos de escritura).
Ten en cuenta que puedes verificar tus permisos en una carpeta haciendo:
Y verifica los permisos de todas las carpetas dentro de PATH:
También puedes verificar las importaciones de un ejecutable y las exportaciones de un dll con:
Para una guía completa sobre cómo abusar de Dll Hijacking para escalar privilegios con permisos para escribir en una carpeta de System Path, consulta:
Writable Sys Path +Dll Hijacking PrivescWinpeas verificará si tienes permisos de escritura en cualquier carpeta dentro del System PATH. Otras herramientas automatizadas interesantes para descubrir esta vulnerabilidad son las funciones de PowerSploit: Find-ProcessDLLHijack, Find-PathDLLHijack y Write-HijackDll.
En caso de que encuentres un escenario explotable, una de las cosas más importantes para explotarlo con éxito sería crear un dll que exporte al menos todas las funciones que el ejecutable importará de él. De todos modos, ten en cuenta que Dll Hijacking es útil para escalar de un nivel de Integridad Media a Alta (eludiendo UAC) o de Alta Integridad a SYSTEM. Puedes encontrar un ejemplo de cómo crear un dll válido dentro de este estudio de dll hijacking enfocado en dll hijacking para ejecución: https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows. Además, en la siguiente sección puedes encontrar algunos códigos dll básicos que podrían ser útiles como plantillas o para crear un dll con funciones no requeridas exportadas.
Básicamente, un proxy de Dll es un Dll capaz de ejecutar tu código malicioso cuando se carga, pero también de exponer y funcionar como se esperaba al redirigir todas las llamadas a la biblioteca real.
Con la herramienta DLLirant o Spartacus puedes indicar un ejecutable y seleccionar la biblioteca que deseas proxificar y generar un dll proxificado o indicar el Dll y generar un dll proxificado.
Obtener rev shell (x64):
Obtener un meterpreter (x86):
Crear un usuario (x86 no vi una versión x64):
Ten en cuenta que en varios casos la Dll que compiles debe exportar varias funciones que van a ser cargadas por el proceso víctima; si estas funciones no existen, el binario no podrá cargarlas y el exploit fallará.
Consejo de recompensas por errores: regístrate en Intigriti, una plataforma de recompensas por errores premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)