RDI无文件落地-反射DLL注入

2024-01-20 03:04
文章标签 dll 注入 反射 落地 rdi

本文主要是介绍RDI无文件落地-反射DLL注入,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概念简介

EDR

EDR技术不同于以往的基于边界、规则、策略为主的静态防御,是一种主动式端点安全防护技术,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),结合已知的失陷指标(Indicators of Compromise,IOCs),运用行为分析和机器学习等技术来监测任何可能的安全威胁和恶意活动,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。

dll注入

通过在目标进程中创建一个远程线程,通过向远程线程中传入对应的DLL,而直接将DLL加载到目标进程的虚拟空间之中

RDI

反射型DLL注入,即RDI是无文件落地,直接内存加载执行PE的技术,不必将其放置在主机的文件系统上,C2中经常使用。

常规dll注入

Dll2.dll

测试,弹个窗

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include<windows.h>
void f() {MessageBoxA(0, 0, 0, 0);
}
BOOL APIENTRY DllMain( HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:f();case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;
}

将dll注入到aaa2.exe中

//远程进程注入
#include <windows.h>
#include <stdio.h>
#include <TlHelp32.h>
typedef FARPROC
(WINAPI* pGetProcAddress)(_In_ HMODULE hModule,_In_ LPCSTR lpProcName);
typedef HMODULE
(WINAPI* pLoadLibraryA)(_In_ LPCSTR lpLibFileName);BOOL injectDll(DWORD dwPID, LPCTSTR szDllPath);
BOOL mydllinject(DWORD pid, LPCTSTR szDllPath);
DWORD fun(LPCTSTR ProcessName);
int main()
{DWORD pid = 0;pid = fun(L"aaa2.exe");printf("pid:%u\n", pid);mydllinject(pid,L"Dll2.dll");system("pause");return 0;
}BOOL mydllinject(DWORD pid, LPCTSTR szDllPath)
{HMODULE hMod = GetModuleHandle(L"kernel32.dll");pGetProcAddress pThreadProc= (pGetProcAddress)GetProcAddress(hMod, "LoadLibraryW");HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);if (hProcess == NULL){return FALSE;}DWORD size = (DWORD)(wcslen(szDllPath) + 1) * sizeof(TCHAR);LPVOID conAddr = VirtualAllocEx(hProcess, NULL, size, MEM_COMMIT, PAGE_READWRITE);if (conAddr == NULL){return FALSE;}printf("add:%x", conAddr);int writecon = WriteProcessMemory(hProcess, conAddr, (LPCVOID)szDllPath, size, NULL);if (writecon == 0){printf("WriteProcessMemory:%d\n", GetLastError());}HANDLE thred = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pThreadProc, conAddr, 0, NULL);if (thred == NULL){printf("CreateRemoteThread:%d\n", GetLastError());}WaitForSingleObject(thred, INFINITE);
}
DWORD fun(LPCTSTR ProcessName)
{HANDLE hProceessnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);if (hProceessnap == INVALID_HANDLE_VALUE){printf_s("创建进行快照失败\n");return 0;}else{PROCESSENTRY32 pe32;pe32.dwSize = sizeof(pe32);BOOL hProcess = Process32First(hProceessnap, &pe32);while (hProcess){if (_wcsicmp(ProcessName, pe32.szExeFile) == 0){return pe32.th32ProcessID;}hProcess = Process32Next(hProceessnap, &pe32);}}CloseHandle(hProceessnap);return 0;
}

过程

  1. 过程程句柄
  2. 为线程函数的参数分配空间(这里的线程函数参数为需要注入的DLL的路径),然后将参数写入虚拟空间
  3. 加载kernel32.dll,从中获取LoadLibraryW的实际地址
  4. 在目标进程中创建远程线程,执行装载DLL的操作

注:

Windows上的应用进程大部分都装载了kernel32.dll这个DLL库,而这个库在各个进程中的装载地址是一样的,那么我们就可以通过GetModuleHandle直接在程序中拿到kernel32.dll,并通过GetProcAddress这个API来找到LoadLibrary这个函数的地址

LoadLibrary函数是需要参数的,这个参数也就是DLL文件的路径,且在目标进程的内存中是没有的,所以需要我们自行分配内存和写入数据

RDI反射dll注入

手动解析PE并映射到目标进程再运行

#include<stdio.h>
#include <Windows.h>
//重定位表
typedef struct BASE_RELOCATION_BLOCK {DWORD page_addr;DWORD block_size;
} BASE_RELOCATION_BLOCK, * PBASE_RELOCATION_BLOCK;//重定位项
typedef struct BASE_RELOCATION_ENTRY {USHORT offset : 12;USHORT type : 4;
} BASE_RELOCATION_ENTRY, * PBASE_RELOCATION_ENTRY;
typedef BOOL(WINAPI* DLLEntry)(HINSTANCE dll, DWORD reason, LPVOID reserved);
int main()
{printf("pid:%d\n", GetCurrentProcessId());// 获取当前模块PVOID imagebase = GetModuleHandleA(NULL);//将DLL字节读入内存缓冲区HANDLE dll = CreateFileA("D:\\c_project\\dlltest\\Debug\\Dll2.dll", GENERIC_READ, NULL, NULL, OPEN_EXISTING, NULL, NULL);DWORD64 dll_size = GetFileSize(dll, NULL);LPVOID dll_bytes = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dll_size);DWORD out_size = 0;ReadFile(dll, dll_bytes, dll_size, &out_size, NULL);// 解析dllPIMAGE_DOS_HEADER dosheaders = (PIMAGE_DOS_HEADER)dll_bytes;PIMAGE_NT_HEADERS ntheaders = (PIMAGE_NT_HEADERS)((DWORD)dll_bytes + dosheaders->e_lfanew);SIZE_T dllImage_size = ntheaders->OptionalHeader.SizeOfImage;   //内存中对齐后的大小// 为DLL分配新的内存空间LPVOID dllbase = VirtualAlloc(NULL, dllImage_size, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);printf("new memory addr:%p\n", dllbase);//计算得到dll基地址的偏移量,也就是实际的 DLL 加载地址减去 DLL 的首选加载地址DWORD delta_image_base = (DWORD)dllbase - (DWORD)ntheaders->OptionalHeader.ImageBase;// 将DLL节表头复制到新分配的DLL空间memcpy(dllbase, dll_bytes, ntheaders->OptionalHeader.SizeOfHeaders);// 将DLL节部分复制到新分配的DLL空间PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(ntheaders);for (size_t i = 0; i < ntheaders->FileHeader.NumberOfSections; i++,section++){LPVOID section_destination = (LPVOID)((DWORD)dllbase + (DWORD)section->VirtualAddress);LPVOID section_bytes = (LPVOID)((DWORD)dll_bytes + (DWORD)section->PointerToRawData);memcpy(section_destination, section_bytes, section->SizeOfRawData);}//修复重定位IMAGE_DATA_DIRECTORY relocations = ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];DWORD relocation_table = relocations.VirtualAddress + (DWORD)dllbase;DWORD relocations_processed = 0;while (relocations_processed < relocations.Size){PBASE_RELOCATION_BLOCK relocation_block = (PBASE_RELOCATION_BLOCK)(relocation_table + relocations_processed);relocations_processed += sizeof(BASE_RELOCATION_BLOCK);DWORD relocations_count = (relocation_block->block_size - sizeof(BASE_RELOCATION_BLOCK)) / sizeof(BASE_RELOCATION_ENTRY);PBASE_RELOCATION_ENTRY relocation_entries = (PBASE_RELOCATION_ENTRY)(relocation_table + relocations_processed);for (DWORD i = 0; i < relocations_count; i++){relocations_processed += sizeof(BASE_RELOCATION_ENTRY);if (relocation_entries[i].type == 0){continue;}DWORD relocation_rva = relocation_block->page_addr + relocation_entries[i].offset;DWORD address_2_patch = 0;ReadProcessMemory(GetCurrentProcess(), (LPCVOID)((DWORD)dllbase + relocation_rva), &address_2_patch, sizeof(DWORD), NULL);address_2_patch += delta_image_base;memcpy((PVOID)((DWORD)dllbase + relocation_rva), &address_2_patch, sizeof(DWORD));}}//解析导入地址表IMAGE_DATA_DIRECTORY imports_directory = ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];PIMAGE_IMPORT_DESCRIPTOR import_descriptor = (PIMAGE_IMPORT_DESCRIPTOR)(imports_directory.VirtualAddress + (DWORD)dllbase);LPCSTR libraryname = "";HMODULE library = NULL;while (import_descriptor->Name != NULL){libraryname = (LPCSTR)import_descriptor->Name + (DWORD)dllbase;library = LoadLibraryA(libraryname);if (library){PIMAGE_THUNK_DATA thunk = NULL;thunk = (PIMAGE_THUNK_DATA)((DWORD)dllbase + import_descriptor->FirstThunk);while (thunk->u1.AddressOfData != NULL){if (IMAGE_SNAP_BY_ORDINAL(thunk->u1.Ordinal)){LPCSTR functionOrdinal = (LPCSTR)IMAGE_ORDINAL(thunk->u1.Ordinal);thunk->u1.Function = (DWORD)GetProcAddress(library, functionOrdinal);}else{PIMAGE_IMPORT_BY_NAME functionName = (PIMAGE_IMPORT_BY_NAME)((DWORD)dllbase + thunk->u1.AddressOfData);DWORD functionAddress = (DWORD)GetProcAddress(library, functionName->Name);thunk->u1.Function = functionAddress;}++thunk;}}import_descriptor++;}//执行DLLEntry dllentry = (DLLEntry)((DWORD)dllbase + ntheaders->OptionalHeader.AddressOfEntryPoint);(*dllentry)((HINSTANCE)dllbase, DLL_PROCESS_ATTACH, 0);CloseHandle(dll);HeapFree(GetProcessHeap(), 0, dll_bytes);return 0;
}

效果如下
在这里插入图片描述

过程

1、将原始DLL文件加载至内存缓冲区;

2、解析DLL标头并获取SizeOfImage;

3、为DLL分配新的内存空间,大小为SizeOfImage;

4、将DLL头和PE节复制到中分配的内存空间;

5、执行重定位;

6、加载DLL导入的库,解析导入地址表(IAT);

7、调用DLL

这篇关于RDI无文件落地-反射DLL注入的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/624599

相关文章

Java通过反射获取方法参数名的方式小结

Java通过反射获取方法参数名的方式小结

《Java通过反射获取方法参数名的方式小结》这篇文章主要为大家详细介绍了Java如何通过反射获取方法参数名的方式,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1、前言2、解决方式方式2.1: 添加编译参数配置 -parameters方式2.2: 使用Spring的内部工具类 -
阅读更多...
SQL注入漏洞扫描之sqlmap详解

SQL注入漏洞扫描之sqlmap详解

《SQL注入漏洞扫描之sqlmap详解》SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入... 目录what支持类型how---less-1为例1.检测网站是否存在sql注入漏洞的注入点2.列举可用数据库3.列举数据库
阅读更多...
Java如何通过反射机制获取数据类对象的属性及方法

Java如何通过反射机制获取数据类对象的属性及方法

《Java如何通过反射机制获取数据类对象的属性及方法》文章介绍了如何使用Java反射机制获取类对象的所有属性及其对应的get、set方法,以及如何通过反射机制实现类对象的实例化,感兴趣的朋友跟随小编一... 目录一、通过反射机制获取类对象的所有属性以及相应的get、set方法1.遍历类对象的所有属性2.获取
阅读更多...
C#反射编程之GetConstructor()方法解读

C#反射编程之GetConstructor()方法解读

《C#反射编程之GetConstructor()方法解读》C#中Type类的GetConstructor()方法用于获取指定类型的构造函数,该方法有多个重载版本,可以根据不同的参数获取不同特性的构造函... 目录C# GetConstructor()方法有4个重载以GetConstructor(Type[]
阅读更多...
【LabVIEW学习篇 - 21】:DLL与API的调用

【LabVIEW学习篇 - 21】:DLL与API的调用

文章目录 DLL与API调用DLLAPIDLL的调用 DLL与API调用 LabVIEW虽然已经足够强大,但不同的语言在不同领域都有着自己的优势,为了强强联合,LabVIEW提供了强大的外部程序接口能力,包括DLL、CIN(C语言接口)、ActiveX、.NET、MATLAB等等。通过DLL可以使用户很方便地调用C、C++、C#、VB等编程语言写的程序以及windows自带的大
阅读更多...
PHP防止SQL注入详解及防范

PHP防止SQL注入详解及防范

SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞。 一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的
阅读更多...
PHP防止SQL注入的方法(2)

PHP防止SQL注入的方法(2)

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE”); DROP TA
阅读更多...
PHP防止SQL注入的方法(1)

PHP防止SQL注入的方法(1)

(1)mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下: $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_r
阅读更多...
【反射知识点详解】

【反射知识点详解】

Java中的反射(Reflection)是一个非常强大的机制,它允许程序在运行时检查或修改类的行为。这种能力主要通过java.lang.reflect包中的类和接口来实现。 通过反射,Java程序可以动态地创建对象、调用方法、访问字段,以及获取类的各种信息(如构造器、方法、字段等)。 反射的用途 反射主要用于以下几种情况: 动态创建对象:通过类的Class对象动态地创建其实例。访问类的字段
阅读更多...
Go 在orm中使用反射

Go 在orm中使用反射

作为静态语言,golang 稍显笨拙,还好 go 的标准包reflect(反射)包弥补了这点不足,它提供了一系列强大的 API,能够根据执行过程中对象的类型来改变程序控制流。本文将通过设计并实现一个简易的 mysql orm 来学习它,要求读者了解mysql基本知识,并且跟我一样至少已经接触 golang 两到三个月。 orm 这个概念相信同学们都非常熟悉,尤其是写过rails的同学,对acti
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2