DLL劫持漏洞自动化识别工具Rattler测试

最新推荐文章于 2025-05-20 15:44:14 发布
原创 最新推荐文章于 2025-05-20 15:44:14 发布 · 5.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WEB安全 #渗透测试 #漏洞挖掘 #劫持DLL #ctf

本文介绍了DLL劫持漏洞的概念、原理和自动化检测工具Rattler的使用方法。通过实例展示了如何利用Rattler查找程序中的DLL劫持漏洞,并通过Process Monitor验证测试。此外,还探讨了防御DLL劫持的措施和用户应注意的安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

最近,来自SensePost的Chris Le Roy开源了一款工具:Rattler,可用来自动识别DLL是否存在预加载漏洞(也可以理解为DLL劫持漏洞,文中该名词均采用DLL劫持漏洞)。虽然DLL劫持漏洞已不再是新技术,可追溯到2010年,但是我对自动化很是感兴趣,于是对此做了进一步研究。

本文将理清DLL劫持漏洞原理,实例分析,测试自动化工具Rattler,分享心得,并测试一个存在该漏洞的软件——Explorer Suite安装包

注:

Explorer Suite安装包内包含CFF Explorer,免费,常用来编辑PE文件格式,最后更新于2012年11月18日,是比较小众的一款工具。对于分析PE文件格式,建议使用作者另一款更专业的工具:Cerbero Profiler

Chris Le Roy介绍Rattler的博客地址:

https://sensepost.com/blog/2016/rattleridentifying-and-exploiting-dll-preloading-vulnerabilities/

Chris Le Roy在BSides Cape Town上也介绍了Rattler,简介如下:

http://www.bsidescapetown.co.za/speaker/chris-le-roy/

0x01 简介DLL劫持漏洞根源

程序在调用DLL时未指明DLL的完整路径

SafeDllSearchMode

从WindowsXPSP2开始,SafeDllSearchMode默认开启,SafeDllSearchMode的存在是为了阻止在XP时代存在的DLL劫持漏洞

注:

强制关闭SafeDllSearchMode的方法:创建注册表项HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSafeDllSearchMode值设为0

程序在调用DLL时,如果未指明DLL的完整路径,那么系统会按照一套固定的搜索顺序寻找DLL

如果SafeDllSearchMode开启,程序会依次从以下位置查找DLL文件:

The directory from which the application loaded

The system directory

The 16-bit system directory

The Windows directory

The current directory

The directories that are listed in the PATH environment variable

如果关闭,则从以下位置查找DLL文件:

The directory from which the application loaded

The current directory

The system directory

The 16-bit system directory

The Windows directory

The directories that are listed in the PATH environment variable

详细内容见:

https://msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx

KnownDLLs

注册表位置:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs

KnownDLLs注册表项下包含一系列常见的系统dll,如usp10.dll、lpk.dll、shell3

最低0.47元/天 解锁文章

200万优质内容无限畅学
CanMeng'Blog
关注
二进制分析工具自动发现DLL劫持漏洞
哆啦安全
12-04 1785
aDLL简介 aDLL是一款功能强大的代码分析工具,可以帮助广大研究人员以自动化的方式识别并发现DLL劫持漏洞。该工具可以分析加载至内存中的源码镜像,并在加载过程中搜索DLL,并且利用了微软Detours代码库来拦截针对LoadLibrary/LoadLibraryEx函数的调用,然后分析在代码运行时过程中加载的DLL文件。 该工具的主要目标就是帮助广大研究人员搜索可执行程序所使用DLL列表,并从中识别出潜在的DLL劫持漏洞DLL劫持攻击 DLL劫持主要指的是病毒木马二进制程序...
DLL劫持实验
雩停
03-11 741
DLL劫持原理 如果A.exe想要调用D.dll,并且使用里面的FunC函数,这样的话,我们把B.dll改名为BB.dll(有的不用,直接根据路径劫持),然后我们自己写一个B.dll里面有一个FunC这个函数,然后我们在这个函数里加载BB.dll,并且调用里面的FunC函数,之后我们再干一些自己的事,对于A.exe来说通常没什么异常,这样我们的劫持目的就达到了。 实验过程 首先编写正常的DLL导出...
【亲测免费】 强大的DLL预加载攻击识别工具 - Rattler
gitblog_00029的博客
05-20 595
强大的DLL预加载攻击识别工具 - Rattler 1、项目介绍 Rattler 是由安全专家Chris Le Roy开发的一款自动化工具,旨在识别那些可能导致DLL预加载攻击的动态链接库(DLL)。这款工具的灵感来自于其作者在博客上发表的一篇文章,并在Black Hat Arsenal USA 2017中被提及。通过Rattler,你可以自动枚举应用程序的DLL,以发现和利用可能的DLL预加载漏...
DLL函数解析器实用工具剖析
最新发布
weixin_31720909的博客
05-20 1536
动态链接库(Dynamic Link Library,简称DLL),是一种在Windows操作系统中实现共享函数库的方法。DLL文件允许程序共享代码和资源,而不是每个程序都复制一份相同的代码,从而节省了磁盘空间,并减少了内存的消耗。DLL 文件包含可执行代码、数据和资源,它们可以被多个程序或应用程序同时加载和执行。在当今高效的软件开发环境中,开发者通常面对的是紧凑的时间线和繁重的工作任务。DLL函数解析器的设计哲学就是要提高工作效率和操作便利性。一个直观易用的界面布局是提升用户体验的关键。
DLL劫持检测工具使用教程
gitblog_00679的博客
08-19 512
DLL劫持检测工具使用教程 1. 项目的目录结构及介绍 dll_hijack_detect/ ├── README.md ├── dll_hijack_detect.exe ├── demo_exe.exe ├── demo_dll.dll └── ... README.md: 项目说明文件,包含项目的基本介绍和使用方法。 dll_hijack_detect.exe: 主程序文件,用于检测系统...
DLL Hijack Auditor 3.5(DLL劫持检测)汉化版.rar
09-04
软件介绍: DLL Hijack Auditor使用方法:选择应用程序(选择或拖动EXE文件到软件中),点击开始检测按钮,启动文件检测,开始应用程序的DLL劫持漏洞检测。DLL Hijack Auditor能够检测你的应用程序是否被劫持,一些恶意程序为了达到某一目的,会劫持软件的DLL动态库文件,这款Dll Hijack Auditor工具来实现防止劫持的目的,它可以一键检测Dll文件是否被劫持,哪些被劫持了,这样就能一目了然防止这些木马软件运行。能检测系统里所有的程序和应用,软件使用智能算法来对DLL劫持进行拦截,支持多种文件扩展后缀。
科普_DLL劫持原理与实践
KHOST的博客
09-08 1686
0x00 前言 DLL劫持算是一个老的漏洞,而且乌云漏洞库中也有很多的案例,只不过案例更多的只是验证一下,并没有教如何利用。至于为什么专门抓起来再学一遍了,唉,内网渗透需要 0x01 什么是DLL 这里先摘抄一下百度百科的解释: DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可...
Rattler_32.exe
03-11
dll劫持检测工具
浅谈DLL劫持
chenyanxu的专栏
01-17 1905
最近在搞内网,需要实现免杀后门,大佬推荐了dll劫持DLL劫持后,能干很多事情,比如杀软对某些厂商的软件是实行白名单的,你干些敏感操作都是不拦截,不提示的。还有留后门,提权等等。本文主要介绍如何检测dll劫持,以及实例演示。 1|0DLL劫持 1|1dll文件是什么? DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。...
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
ndp48-web.exe
09-02
最新的.Net Framwork版本,可以升级.Net Framwork 框架
注入技术系列:一个批量验证DLL劫持工具
anhkgg的专栏
11-04 1600
作者:anhkgg 日期:2019年11月3日 很多时候,可能会对某个软件进行DLL劫持。 而这个软件是否存在DLL劫持漏洞,需要去分析验证。 比如通过IDA查看导入的DLL,或者LoadLibrary的DLL,然后慢慢排除某些KnownDlls,排除某些绝对路径加载的DLL… 或者通过Windbg分析。 虽然技术难度不高,但是挺费事的。 本篇文章分享我找DLL劫持的方法,不一定是最佳,不过很...
Rattler 项目使用教程
gitblog_00069的博客
08-18 351
Rattler 项目使用教程 1. 项目的目录结构及介绍 Rattler 项目的目录结构如下: rattler/ ├── README.md ├── LICENSE ├── requirements.txt ├── setup.py ├── rattler/ │ ├── __init__.py │ ├── main.py │ ├── config.py │ ├── utils/ │...
DLL劫持
m0_68259687的博客
11-16 1428
打开我们的Process Monitor,来监测一下某些程序启动的事件,这里我们要注意一个细节,当我们想要寻找存在Dll劫持的程序的时候,要把exe托出它原来的环境来执行,原因是上面所提到的dll加载顺序,我们需要保证找到的dll,一定是exe所在目录加载的。随着版本的更新,代码的更迭,应用程序自带的Dll数不胜数,几乎随便打开一个应用程序的主目录,都能看见一大把Dll,它们中的很多都满足被劫持的条件。这样进行劫持,还是有可能会让我们的程序没有办法正常运行,因为我们链上了一个原本不存在的dll,这样。
Dll劫持漏洞详解
weixin_30904593的博客
09-04 1203
一、dll的定义 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DL...
无法定位程序输入点ucrtbase.terminate于动态链接库api-ms-win-crt-runtime-|1-1-0.dll
热门推荐
洛丹伦的夏天
11-26 4万+
这个问题我是在安装Python运行环境的时候出现的,解决办法如下:           1、打开CMD,输入 winver.exe ,回车运行,查看当前Windows版本      如果版本为7600,则首先安装:windows6.1-KB976932-X64.exe(链接),将版本升级为 7601:Service Pack 1,再进行第2步;如
Windows 10上安装Rattle数据可视化工具指南
"这篇文档是关于在Windows 10系统上安装Rattle数据可视化工具有关的详细步骤,Rattle是一款基于R语言的数据挖掘图形用户界面。它允许用户无需深入学习R语言代码即可进行数据分析、汇总和建模。文档包含了R和RStudio...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值