文章总结: 本文介绍了通过哔哩哔哩客户端实现白加黑劫持的过程。作者利用ProcessMonitor监控bilibili.exe的启动行为,筛选LoadLibraryExW调用,发现其试图加载不存在的KBDUS.dll。随后作者编写并放置伪造同名DLL,成功在白程序启动时触发了计算器弹窗。文章详细展示了DLL劫持挖掘步骤与基础利用代码,并指出后续可扩展为上线及权限维持。 综合评分: 75 文章分类: 渗透测试,漏洞分析,免杀
【转载】通过某哔哩实现白加黑
隐雾安全
2026年1月9日 09:01 四川
好文推荐
文章作者:先知社区(Mou)
文章来源:https://xz.aliyun.com/news/17180
文章声明
本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关
作者很菜如果文章有说的不对的地方欢迎留言纠正
用到的工具
-
1.Process Monitor
-
vs stido
首先挖掘黑dll需要的工具有两个,第一个是ProcessMonitor另外一个是pe查看工具,在这次挖掘中只需要使用ProcessMonitor工具
挖掘黑dll主要就是看白exe在启动的时候加载了什么dll以及查看dll的导出表查看调用了什么函数来进行替换或者是那种需要加载某个dll但是没有这个dll,这次的情况就是加载了某个dll但是路径中没有这个dll导致的攻击者伪造从而达到白加黑的目的
首先配置ProcessMonitor工具的筛选条件方便我们进行筛选
一个是筛选bilibili客户端的exe一个是筛选dll文件防止出错,然后我们再启动bilibili.exe
然后我们开始寻找调用了KernelBase.dll里的LoadLibraryExW函数的dll
发现是一个加载时没找到的dll,那么这时候就可以在路径哪里创建一个同名的dll来进行测试白加黑了,由于只是测试所以就弄个最简单的弹计算机:
#include "pch.h"#include <Windows.h>BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: WinExec("calc.exe", SW_NORMAL); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}
生成dll改名为KBDUS.dll放到目录下双击启动:
完成
作者这个只是一个简单的模板,后续还有可开发使用方法如上线以及权限维持之类的,最后欢迎各位师傅评论一起交流学习。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:隐雾安全 《【转载】通过某哔哩实现白加黑》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论