ma4ter

熬过无人问津的日子才能拥有诗和远方.

劫持微信dll使木马bypass360重启上线维持权限

渗透测试 1 评 1141 读

以wechatwin.dll为例子
使用aheadlib.exe即可快速生成dll源码 方便劫持

软件的本质是通过读取导出的函数名和内联汇编代码来 "转发" DLL.
下载地址:https://bbs.pediy.com/thread-224408.htm
如果在加载 DLL 时出错就说明位数有问题, 需要运行 x64 的 AHeadLib.

当前者为 "直接转发函数" 时, 则直接转发整个 DLL, 代码中仅有 DllMain. 如果选择 "即时调用函数", 就会细分至 DLL 的每一个函数, 在调用不同函数时依次进行转发. 例如在接受文档时触发 Payload, 或是在程序崩溃时触发 Payload, 高度自定义, 没有需要的话默认即可.
"原始 DLL 名" 指的是被劫持 DLL 修改后的名称. 工具只是帮你把指定函数转发到对应的 DLL 上, 并不是直接反编译出内容, 所以需要通过恶意 DLL 来调用被劫持 DLL 的相关函数, 如果勾选 "系统路径" 则说明被劫持的 DLL 为系统 DLL.

生成后在 Visual Studio 新建动态链接库项目, 然后在 dllmain 中粘贴代码.
在入口函数中加入启动进程的代码.

STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
CreateProcess(TEXT("C:\\Windows\\System32\\cmd.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);

选择对应位数编译 (如果是 64 位的 DLL 需要在项目中添加之前生成的 .obj 文件).
复制 DLL, 并修改被劫持 DLL 的名称为之前指定的 "原始 DLL 名".

这里我想用这个加启动项看看能不能过360 结果算了,,360牛逼
启动微信 弹出CMD

以传统远控为例
木马将自身复制到F盘
然后在劫持的DLL的入口函数加入启动代码


启动微信 叮~新的主机上线

如果微信在启动项里面的话 那么就能达到傀儡机重启木马也能上线的目的
已经实际测试过了 360不会拦截 只要木马静态免杀就可以了
在实际渗透过程中 也算是一种维权的思路吧
PS:仅限合法授权测试 请勿用于非法测试

1 评论
    LeeChrome 91Windows 10
    7月15日回复

    AheadLib生成后的cpp无法直接编译,大佬你是这么处理导出类函数的