embrague Es una demostración de tecnología avanzada de secuestro de DLL.Se lanza con «Adaptive DLL» Publicación de blog de secuestro «. Te sugiero que comiences desde allí y pongas este código en contexto.
El proyecto consta de los siguientes elementos:
- Harness.exe: Aplicaciones de «víctima» que se secuestran fácilmente (estáticas / dinámicas)
- Función .dll: Una biblioteca «real» que expone funciones efectivas al arnés de cableado
- Theif.dll: Biblioteca «Evil» que intenta obtener derechos de ejecución
- Clone.exe de red: Aplicación AC # que exporta clones de una DLL a otra DLL
- PyClone.py: Un script de Python 3 que imita la funcionalidad de NetClone
La solución VS en sí admite 4 configuraciones de compilación, que se asignan a 4 métodos de función de proxy diferentes. Esto debería proporcionar una buena forma extensible de mostrar más tecnologías en el futuro.
- Stc-reenvío: Utilice el vinculador para comentar el nombre de exportación durante el proceso de compilación
- Dyn-NetClone: Clonar tabla de exportación Function.dll superior documento Utilice NetClone para la post-compilación
- Dyn-PyClone: Clonar tabla de exportación Function.dll superior documento Utilice PyClone para la post-compilación
- Reconstrucción dinámica: Reconstruya la tabla de exportación y parchee la tabla de importación vinculada después de cargarla para preparar dinámicamente la función proxy
El objetivo de cada técnica es capturar con éxito la ejecución del código mientras se transfieren funciones a archivos DLL legítimos. Cada tecnología ha sido probada para asegurar que se manejen situaciones de receptor estáticas y dinámicas. Hasta ahora, estas no son todas las variantes originales o técnicas. La publicación anterior tiene una introducción más detallada.
ejemplo
Utilice DLL obviamente incorrectos para prepararse para escenarios de secuestro
Copie C: windows system32 whoami.exe. Whoami.exe
Se ha copiado 1 archivo.
Copie C: windows system32 kernel32.dll. Wkscli.dll
Se ha copiado 1 archivo.
Ejecutar en la configuración actual debería causar un error
whoami.exe
«Punto de entrada no encontrado»
Convertir kernel32 a la función de proxy wkscli
NetClone.exe – Destino C: windows system32 kernel32.dll – Referencia C: windows system32 wkscli.dll – Salida wkscli.dll
[+] completo.
whoami.exe
Computadora usuario