Windows横向移动全攻略（三）：DLL劫持

2023-11-29 20:23:37 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

一、概述

在这一系列的前两篇文章中，我们详细分析了通过WMI事件订阅和DCOM实现横向移动的方法，并介绍了如何改进我们的工具。

在本系列的最后一篇文章中，我们将讨论如何将DLL劫持用于横向移动。从经验上来看，DLL劫持通常与创建持久性、特权提升等攻击方法相关。但是，在某些情况下，它也可以用于横向移动，正如SpectreOps的Dwight Hohnstein在这篇文章中所描述的那样，他使用了服务控制管理器实际演示了劫持过程。在这篇文章中，我们会展现出DLL劫持在横向移动方面更多的应用场景，并举例说明如何在其他服务（例如WMI和DCOM）中实现。

DLL劫持的条件

我们在这里不再讨论什么是DLL劫持，假设大家已经熟悉模块加载搜索顺序的劫持方式，网上已经有很多资源对这种劫持方法做了详细介绍，包括：

https://pentestlab.blog/2017/03/27/dll-hijacking/
https://itm4n.github.io/windows-dll-hijacking-clarified/
https://liberty-shell.com/sec/2019/03/12/dll-hijacking/

二、定位DLL劫持

发现DLL劫持是一个相对简单的过程，因为可能会有很多可以利用的位置。在识别DLL劫持攻击点时，我通常使用procmon进行以下筛选：

1、路径以“.dll”结尾；
2、搜索结果是“NAME NOT FOUND”。

如果我们在寻找横向移动的机会，这只是与远程系统进行交互并获取结果的一种情况。
要与远程系统进行交互，还可以使用多种方式，包括：

1、WMI；
2、DCOM；
3、PowerShell远程；
4、SMB；
5、服务控制管理器和其他正在运行的服务。

但是，并不是所有这些都可能实现DLL劫持。

如果我们不急于实现横向移动，随着时间的流逝，远程系统上可能会发生各种事件，这些事件自然会指向缺失的DLL。例如，在这台Windows 10主机上，我们可以看到，在没有进行任何交互的情况下，几分钟后，多个进程都在寻找“C:\Windows\System32\edgegdi.dll”。这些进程中包括gpupdate.exe，它的运行周期与组策略刷新周期一致，默认情况下是90分钟运行一次。

各种默认的应用程序也是不错的选择，例如OneDrive，它会定期执行，从而产生一些DLL劫持的机会。我们可以看到，它每分钟运行一次FileCoAuth.exe中显示的文件。

另外，DiagTrack服务会定期查找“C:\Windows\System32\windowscoredeviceinfo.dll”。

现在，我们已经研究了寻找DLL劫持的方法，接下来看看该如何利用。

三、利用DLL劫持

在找到适合劫持、用于横向移动的DLL后，我们需要利用SMB将DLL植入远程系统。

在加载植入的DLL时，有多种方法可以劫持执行程序，但我们更希望DLL作为真实DLL的代理，从而最大程度减少中断正常操作的可能性。有许多技术都可以实现这一目标，我们强烈建议阅读Silent Break Security的Nick Landers撰写的“Adaptive DLL Hijacking”这篇文章。

DLL代理的最简单方法可能是到处转发。这种技术仅仅是告诉加载程序将所有导出转发到真实的DLL，而我们的加载程序DLL如果要劫持对version.dll的调用，可能仅包含类似以下内容：

#pragma comment(linker,"/export:GetFileVersionInfoA=C:/Windows/System32/version.GetFileVersionInfoA,@1")
#pragma comment(linker,"/export:GetFileVersionInfoByHandle=C:/Windows/System32/version.GetFileVersionInfoByHandle,@2")
#pragma comment(linker,"/export:GetFileVersionInfoExA=C:/Windows/System32/version.GetFileVersionInfoExA,@3")
#pragma comment(linker,"/export:GetFileVersionInfoExW=C:/Windows/System32/version.GetFileVersionInfoExW,@4")
#pragma comment(linker,"/export:GetFileVersionInfoSizeA=C:/Windows/System32/version.GetFileVersionInfoSizeA,@5")
#pragma comment(linker,"/export:GetFileVersionInfoSizeExA=C:/Windows/System32/version.GetFileVersionInfoSizeExA,@6")
#pragma comment(linker,"/export:GetFileVersionInfoSizeExW=C:/Windows/System32/version.GetFileVersionInfoSizeExW,@7")

除了上面那篇文章之外，Nick还发布过一个工具包Koppeling，使用这个工具包可以将某个DLL的导出表克隆到另一个DLL，这样我们就不再需要从源代码手动编译代理DLL。

接下来，我们来看一些DLL劫持用于横向移动的实际案例。

四、案例研究：WMI劫持

如前所述，我们可以利用DLL劫持进行横向移动的一种方法是劫持我们可以实现远程交互的目标。比如wmiprvse.exe，这是WMI提供程序，会在启动WMI连接时生成。

无需执行任何查询就会生成wmiprvse.exe，可以使用类似于以下C#代码进行简单的认证：

ConnectionOptions cOption = new ConnectionOptions();
ManagementScope scope = null;
scope = new ManagementScope(NAMESPACE, cOption);
if (!String.IsNullOrEmpty(ACTIVE_DIRECTORY_USERNAME) && !String.IsNullOrEmpty(ACTIVE_DIRECTORY_PASSWORD))
{
    scope.Options.Username = ACTIVE_DIRECTORY_USERNAME;
    scope.Options.Password = ACTIVE_DIRECTORY_PASSWORD;
    scope.Options.Authority = string.Format("ntlmdomain:{0}", ACTIVE_DIRECTORY_DOMAIN);
}
scope.Options.EnablePrivileges = true;
scope.Options.Authentication = AuthenticationLevel.PacketPrivacy;
scope.Options.Impersonation = ImpersonationLevel.Impersonate;
try {
    Console.WriteLine("[*] Attempting to connect to host " + Config.REMOTE_HOST);
    scope.Connect();
}

在启动这个WMI连接时，使用procmon监视wmiprvse.exe，我们发现了几个潜在目标DLL，这些也许可以被我们劫持。