DLL Hijacking 실습 (3)

DLL hijacking 실습 (3)

실습환경: windows 10 21H2 64bit

실습대상: microsoft team v.1.3.00.24758

실습도구: gcc, procmon, vscode 1.660, visual studio 2022 17.1.1

참고: (링크)

 

 

Teams 구버전을 대상으로 실습할 것.

필터링 걸어서 결과값이 NAME NOT FOUND인 DLL 확인

 

 

---

 

 

1트

① DWrite.dll 하이잭

그냥 C:\ 경로에서 검색해서 찾았다.

 

② dll_stealing_fuc.py 스크립트 실행해서 def만들기.

 

③ evildll.cpp 컴파일 with DWrite.dll

 

④ MS Teams 폴더 (Teams.exe가 존재하는 폴더) 에 넣어주기

 

⑤ MS Teams 실행

안된다.

쉽지않다.

 

 

2트

SspiCli.dll 하이잭

 

① SspiCli.dll 위치 찾기

 

② dll_stealing_fuc.py 스크립트 실행해서 def만들기.

 

③ evildll.cpp 컴파일 with DWrite.dll

 

④ MS Teams 폴더에 넣어준 후 Teams 실행

실패함

 

 

3트

cscapi.dll 하이잭 시도

 

① cscapi.dll 위치 찾기

 

② dll_stealing_fuc.py 스크립트 실행해서 def만들기.

 

③ evildll.cpp 컴파일 with DWrite.dll

 

④ MS Teams 폴더에 넣어준 후 Teams 실행

3트만에 성공