Dll Hijacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
DLL Hijacking uključuje manipulaciju poverljivom aplikacijom da učita zloćudni DLL. Ovaj termin obuhvata nekoliko taktika kao što su DLL Spoofing, Injection, i Side-Loading. Uglavnom se koristi za izvršavanje koda, postizanje postojanosti i, ređe, eskalaciju privilegija. Iako je fokus ovde na eskalaciji, metoda otmice ostaje dosledna kroz ciljeve.
Nekoliko metoda se koristi za DLL hijacking, svaka sa svojom efikasnošću u zavisnosti od strategije učitavanja DLL-a aplikacije:
DLL Replacement: Zamena pravog DLL-a sa zloćudnim, opcionalno koristeći DLL Proxying da očuva funkcionalnost originalnog DLL-a.
DLL Search Order Hijacking: Postavljanje zloćudnog DLL-a u putanju pre legitimnog, iskorišćavajući obrazac pretrage aplikacije.
Phantom DLL Hijacking: Kreiranje zloćudnog DLL-a koji aplikacija učitava, misleći da je nepostojeći potrebni DLL.
DLL Redirection: Modifikovanje pretraživačkih parametara kao što su %PATH%
ili .exe.manifest
/ .exe.local
datoteke da usmere aplikaciju na zloćudni DLL.
WinSxS DLL Replacement: Zamena legitimnog DLL-a sa zloćudnim u WinSxS direktorijumu, metoda koja se često povezuje sa DLL side-loading.
Relative Path DLL Hijacking: Postavljanje zloćudnog DLL-a u direktorijum pod kontrolom korisnika sa kopiranom aplikacijom, podsećajući na tehnike Binary Proxy Execution.
Najčešći način da se pronađu nedostajući DLL-ovi unutar sistema je pokretanje procmon iz sysinternals, postavljajući sledeća 2 filtera:
i samo prikazivanje Aktivnosti fajl sistema:
Ako tražite nedostajuće dll-ove uopšte, možete ostaviti ovo da radi nekoliko sekundi. Ako tražite nedostajući dll unutar specifične izvršne datoteke, trebali biste postaviti drugi filter kao "Process Name" "contains" "<exec name>", izvršiti ga, i prestati sa snimanjem događaja.
Da bismo eskalirali privilegije, najbolja šansa koju imamo je da možemo napisati dll koji će privilegovani proces pokušati da učita na nekom mestu gde će biti pretraživan. Stoga, moći ćemo da napišemo dll u folderu gde se dll pretražuje pre foldera gde se originalni dll nalazi (čudan slučaj), ili ćemo moći da pišemo u neki folder gde će se dll pretraživati i originalni dll ne postoji u bilo kom folderu.
Unutar Microsoft dokumentacije možete pronaći kako se DLL-ovi učitavaju specifično.
Windows aplikacije traže DLL-ove prateći skup predefinisanih putanja za pretragu, pridržavajući se određenog reda. Problem DLL hijacking-a nastaje kada se štetan DLL strateški postavi u jedan od ovih direktorijuma, osiguravajući da se učita pre autentičnog DLL-a. Rešenje za sprečavanje ovoga je osigurati da aplikacija koristi apsolutne putanje kada se poziva na DLL-ove koje zahteva.
Možete videti redosled pretrage DLL-a na 32-bitnim sistemima u nastavku:
Direktorijum iz kojeg je aplikacija učitana.
Sistem direktorijum. Koristite GetSystemDirectory funkciju da dobijete putanju ovog direktorijuma.(C:\Windows\System32)
16-bitni sistem direktorijum. Ne postoji funkcija koja dobija putanju ovog direktorijuma, ali se pretražuje. (C:\Windows\System)
Windows direktorijum. Koristite GetWindowsDirectory funkciju da dobijete putanju ovog direktorijuma.
(C:\Windows)
Trenutni direktorijum.
Direktorijumi koji su navedeni u PATH promenljivoj okruženja. Imajte na umu da ovo ne uključuje putanju po aplikaciji koju određuje App Paths registry ključ. App Paths ključ se ne koristi prilikom izračunavanja DLL putanje pretrage.
To je podrazumevani redosled pretrage sa SafeDllSearchMode omogućenim. Kada je on onemogućen, trenutni direktorijum se penje na drugo mesto. Da biste onemogućili ovu funkciju, kreirajte HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode registry vrednost i postavite je na 0 (podrazumevano je omogućeno).
Ako se poziva LoadLibraryEx funkcija sa LOAD_WITH_ALTERED_SEARCH_PATH, pretraga počinje u direktorijumu izvršnog modula koji LoadLibraryEx učitava.
Na kraju, imajte na umu da dll može biti učitan ukazujući na apsolutnu putanju umesto samo na ime. U tom slučaju, taj dll će se samo pretraživati u toj putanji (ako dll ima bilo kakve zavisnosti, one će se pretraživati kao da su samo učitane po imenu).
Postoje i drugi načini za promenu načina pretrage, ali ih ovde neću objašnjavati.
Određene izuzetke od standardnog DLL redosleda pretrage beleže Windows dokumentacija:
Kada se naiđe na DLL koji deli svoje ime sa jednim već učitanim u memoriji, sistem zaobilazi uobičajenu pretragu. Umesto toga, vrši proveru preusmeravanja i manifest pre nego što se vrati na DLL već u memoriji. U ovom scenariju, sistem ne sprovodi pretragu za DLL.
U slučajevima kada je DLL prepoznat kao poznati DLL za trenutnu verziju Windows-a, sistem će koristiti svoju verziju poznatog DLL-a, zajedno sa bilo kojim od njegovih zavisnih DLL-ova, preskočivši proces pretrage. Registry ključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs sadrži listu ovih poznatih DLL-ova.
Ako DLL ima zavisnosti, pretraga za tim zavisnim DLL-ovima se sprovodi kao da su označeni samo svojim imenima modula, bez obzira na to da li je inicijalni DLL identifikovan putem pune putanje.
Zahtevi:
Identifikujte proces koji radi ili će raditi pod različitim privilegijama (horizontalno ili lateralno kretanje), koji nema DLL.
Osigurajte da je pristup za pisanje dostupan za bilo koji direktorijum u kojem će se DLL pretraživati. Ova lokacija može biti direktorijum izvršne datoteke ili direktorijum unutar sistemske putanje.
Da, zahtevi su komplikovani za pronalaženje jer je po defaultu čudno pronaći privilegovanu izvršnu datoteku bez dll-a i još je čudnije imati dozvole za pisanje u folderu sistemske putanje (po defaultu ne možete). Ali, u pogrešno konfiguriranim okruženjima ovo je moguće. U slučaju da imate sreće i ispunjavate zahteve, možete proveriti UACME projekat. Čak i ako je glavni cilj projekta zaobilaženje UAC, možda ćete tamo pronaći PoC za Dll hijacking za verziju Windows-a koju možete koristiti (verovatno samo menjajući putanju foldera gde imate dozvole za pisanje).
Imajte na umu da možete proveriti svoje dozvole u folderu tako što ćete:
I proverite dozvole svih foldera unutar PATH:
Možete takođe proveriti uvoze izvršne datoteke i izvoze dll-a sa:
Za potpuni vodič o tome kako zloupotrebiti Dll Hijacking za eskalaciju privilegija sa dozvolama za pisanje u System Path folder, proverite:
Writable Sys Path +Dll Hijacking PrivescWinpeas će proveriti da li imate dozvole za pisanje u bilo kom folderu unutar sistemskog PATH-a. Ostali zanimljivi automatizovani alati za otkrivanje ove ranjivosti su PowerSploit funkcije: Find-ProcessDLLHijack, Find-PathDLLHijack i Write-HijackDll.
U slučaju da pronađete scenario koji se može iskoristiti, jedna od najvažnijih stvari za uspešno iskorišćavanje bi bila da napravite dll koji izvozi barem sve funkcije koje će izvršni program uvesti iz njega. U svakom slučaju, imajte na umu da Dll Hijacking dolazi u obzir kako bi se eskaliralo sa Medium Integrity nivoa na High (zaobilaženje UAC) ili sa High Integrity na SYSTEM. Možete pronaći primer kako napraviti validan dll unutar ove studije o dll hijacking-u fokusirane na dll hijacking za izvršenje: https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows. Pored toga, u sledećem odeljku možete pronaći neke osnovne dll kodove koji bi mogli biti korisni kao šabloni ili za kreiranje dll-a sa neobaveznim izvezenim funkcijama.
U suštini, Dll proxy je Dll sposoban da izvrši vaš zlonamerni kod kada se učita, ali takođe da izloži i radi kao očekivano tako što preusmerava sve pozive na pravu biblioteku.
Sa alatom DLLirant ili Spartacus možete zapravo naznačiti izvršni program i odabrati biblioteku koju želite da proxifikuje i generisati proxified dll ili naznačiti Dll i generisati proxified dll.
Dobij rev shell (x64):
Dobijte meterpreter (x86):
Kreirajte korisnika (x86 nisam video x64 verziju):
Napomena da u nekoliko slučajeva Dll koji kompajlirate mora izvoziti nekoliko funkcija koje će biti učitane od strane procesa žrtve, ako ove funkcije ne postoje binarni fajl neće moći da ih učita i eksploit će propasti.
Bug bounty tip: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)