本文介绍了一种利用DLL劫持技术在Webshell中实现提权的方法,包括DLL劫持的工作原理、具体操作步骤以及测试方法。通过将伪造的DLL文件放置在特定目录,可以在系统启动时自动添加管理员账号。
将此DLL文件放入服务器存在EXE的目录中,重启后(可以攻击导致重启,其他方法也行,就是让系统再次运行此目录的任何一个EXE就行)
比如放在c:\php\目录下,下次重启后就会在服务器中添加用户bmd,密码为cunzhang的管理员帐号
(网上已经存在了,不过没有测试成功,此款测试成功,大家可以自己测试附件压缩包为测试用的EXE,点击TEST.EXE,然后关闭就会添加用户BMD,也可以在同目录运行其他EXE测试)
下载地址:usp10.dll
也有人说这东西08年的时候就被玩烂了。微软10年10月出了补丁,如果这个能用,还不如用pr
————————————————————————————
这个要比最近爆出来的usp10.dll提权感觉还要牛x点。
程序执行会到系统目录找到lpk.dll加载
按照xx的顺序 程序当前目录优先加载
于是把这个lpk.dll放到exe的程序目录
exe运行的时候我们这个lpk.dll就会被加载
提权的时候找一个系统权限下启动的exe程序的目录
把这个lpk.dll丢到里面就行
然后当exe执行的时候这个lpk就会被加载来添加一个用户
测试方法:
将lpk.dll放到任意目录
执行当前目录里的任意exe(最好是第三方程序)
系统就会添加一个账号
装了360的机器可能测试失败
本来打算多方面考虑一下发一个完全版的
比如寻找系统用户组什么的
防止被人说卖关子
虽然不成熟也丢出来
这样就只能默认administrators管理组了
反正当前的功能就是添加一个用户名为3est的用户并将这个用户添加到administrators组
为了方便大家记忆
被加载后添加的用户名密码分别是
user:3est
pass:m0r5Mjj$
下载地址:lpk.dll
(此程序未加壳,修改帐号和密码,拖到c32asm里面,选择十六进制编辑模式。按快捷键ctrl+G ,输入地址:2B70『或者自己搜索3est这个字眼)
————————————————————————
什么是DLL劫持
DLL劫持在破解逆向程序时是常用的,我们同样可以用于Webshell提权。
●DLL劫持产生的原因●
先来看一下,DLL劫持的原因。
1、Windows的DLL称为动态链接库,动态链接库技术的本质实际上是将可执行文件与库文件分离,DLL库文件通过导出表提供API接口,PE加载器通过exe文件的导入表加载相应的DLL,并根据exe文件中的INT查询DLL中的函数地址,同时写入IAT。
2、当PE加载器根据exe文件的导入表加载DLL文件时,它会按照程序的当前目录-->system32目录-->windows目录-->PATH环境变量设置的目录来依次查找要加载的DLL文件。因此,我们可以在伪造一个导入表同名的DLL文件,放置到exe文件的目录中,让PE加载器加载我们伪造的DLL文件,从而实现劫持。
3、DLL的转发器功能为我们提供了必要的条件,所谓DLL转发器功能是将对某个DLL文件的导出函数调用转到另一个DLL文件的导出函数中。
上面是理论,下面来实践一下,以Win2003为例,定位到Iexplore.exe的目录,随便建立一个文件命名为usp10.dll,然后运行iexplore.exe
直接运行IE提示出错
基本可以确定iexplore.exe加载usp10.dll,要确定一个可执行文件加载哪些DLL有时候单纯的查看导入表是不可取的,最好的办法用OD加载程序,ALT+L查看加载记录,但是需要注意一点,系统的一些关键DLL比如kernel32.dll、ntdll.dll无法劫持。
在得到Webshell中只要iexplore.exe的目录具有写权限,就可以将usp10.dll上传到该目录,管理员只要用iexplore.exe上网,提权也就成功了。同样这里的usp10.dll也只是一个示例,系统中实际上有很多DLL都可以被伪造,比如ws2_32.dll,很多网络程序都会调用此DLL中的函数。
本文源于:逍遥复仇's Blog http://www.hackseo.net/,原文地址:http://www.hackseo.net/post/usp10.html,支持原创,谢绝山寨!
扫一扫
341
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
