dll劫持外加打包钓鱼一条龙！

Delina

原文链接：dll劫持外加打包钓鱼一条龙！
dll劫持
1.dll劫持产生条件

1. <code>1.dll能否被劫持：</code><code>    不在'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs'注册表中
   
2. </code><code>2.其dll是EXE程序首先加载的DLL，而不是依赖其他DLL加载的。</code><code>
   
3. 3.DLL确实被加载进内存中</code>

复制代码

2.判断dll是否可以劫持。2.1手动方法利用进程查看软件，查看dll是否存'KnownDlls'注册表中。
进程查看工具：ProcessExplorer/ProcessMonitor/火绒剑

1. <code>ProcessExplorer</code><code>下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer</code>

复制代码

​

1. <code>ProcessMonitor</code><code>下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon</code>

复制代码

​
火绒剑

​

根据进程查看的dll和注册表进行对比

1. <code>win7机以上：</code><code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs</code>

复制代码

​

notepad为例：6版本之前的SciLexer.dll存在dll劫持。
注册表中没有SciLexer.dll。进程notepad调用到了SciLexer.dll。说明SciLexer.dll可能存在dll劫持。


​

2.2自动审计常见的几种工具：

1. <code>1.Ratter(虚拟机中出错不知道为啥）</code><code>https://github.com/sensepost/rattler/releases</code>

复制代码

​

1. 2.DLL Hijack Auditor

复制代码

​
file

1. <code>3.dll_hijack_detect</code><code>https://github.com/adamkramer/dll_hijack_detect/releases</code>

复制代码

1. <code>4.ChkDllHijack</code><code>https://github.com/anhkgg/anhkgg-tools</code>

复制代码

文件传不上来，这个就不看图了。
2.3测试利用自动化验证dll劫持发现sxs.dll可能存在劫持

​

msf生成dll，弹出计算机。

1. msfvenom -p windows/exec CMD = calc.exe EXITFUNC=thread -f dll -o sxs.dll

复制代码

1.可以替换可能存在dll劫持的文件。2.可以使用dll注入工具,进行劫持文件2.1
​

2.2使用InjectProc注入

1. <code>InjectProc --dll注入工具</code><code>https://github.com/secrary/InjectProc/releases</code><code>InjectProc.exe dll_inj joker.dll notepad.exe</code>

复制代码

注入成功

​

3.dll注入+重新打包采用方法：shellcode--dll--pe导入dll--nsis重新打包
3.1cs生成shellcode
利用攻击->生成后门->语言类后门->C语言
​

​

3.2利用DLL注入攻击工具

1. <code>利用DLL注入攻击工具把shellcode生成dll文件。</code><code>会在同目录下生成conf.inf 和wwwcomw.dll两个文件</code>

复制代码

​

​

3.3利用PE工具把DLL导入EXE
把上述生成的文件放到需要劫持的目录下。采用PE查看器，把上述shellcode生成的dll中的函数导入到exePE表中。把EXE放入到PE查看中-->选择函数-->随便选择一个右键Add New Import DLL选择->选择函数->添加到列表->输入表列表中选中刚刚添加到内容，最后点击添加即可。

​


​


​

3.4上线

​

4 nsis重新打包

1. 上述完成后，本地劫持完成，这里使用nsis重新打包，进行钓鱼。

复制代码

4.1准备工作
源安装包

​

1. 源文件的ico图标提取。

复制代码

​
4.2打包

1. 选择可视化脚步编辑器

复制代码

​

安装需求填写

​

​
应用程序默认目录，本地安装一次最好，看一下本地默认安装的目录例如：C:\Program Files (x86)\VPN（本地）然后修改本地安装了，防止冲突，设置成了VPN1
​
选择需要打包的目录，把每个字目录选中。

​


​


​


​
编译成功

​
打包成功

​
对比一下，下面为最新打包，上面为源文件，文件大小差距。除了没有数字签名

​
打包之类成功安装。

​

​
成功上线。