windows - 远程执行时短 LdrLoadDll 存根崩溃
问题描述
所以我编写了一个小程序,将一些 shellcode 复制到调用 LdrLoadDll 的指定进程中(如存根)。问题是,它仅在我指定要使用的程序与我编写的程序相同时才有效。如果我选择任何其他程序,该程序将崩溃。会不会是我的函数原型?
这是我的代码:
#include <Windows.h>
#pragma comment(lib, "ntdll.lib")
typedef struct _LSA_UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;
using f_LdrLoadDll = NTSTATUS(NTAPI*)(IN PWCHAR PathToFile OPTIONAL, IN ULONG Flags OPTIONAL, IN PUNICODE_STRING ModuleFileName, OUT PHANDLE ModuleHandle);
typedef NTSTATUS(NTAPI *pdef_LdrLoadDll)(IN PWCHAR PathToFile OPTIONAL, IN ULONG Flags OPTIONAL, IN PUNICODE_STRING ModuleFileName, OUT PHANDLE ModuleHandle);
EXTERN_C NTSYSAPI VOID WINAPI RtlInitUnicodeString(PUNICODE_STRING, PCWSTR);
struct LOADER_STUB_INFO
{
pdef_LdrLoadDll LdrLoadDllDef;
UNICODE_STRING filename;
f_LdrLoadDll LdrLoadDll = LdrLoadDllDef;
};
void __stdcall ldrstub(LOADER_STUB_INFO * ldrInfo);
int main()
{ //only works with GetCurrentProcessId();
HANDLE proc = OpenProcess(GENERIC_ALL, 0, GetCurrentProcessId());
LOADER_STUB_INFO loaderInfo;
LPVOID ldrFuncAddr = GetProcAddress(GetModuleHandle("ntdll.dll"), "LdrLoadDll");
pdef_LdrLoadDll LdrLoadDll = (pdef_LdrLoadDll)ldrFuncAddr;
loaderInfo.LdrLoadDll = LdrLoadDll;
UNICODE_STRING file;
RtlInitUnicodeString(&file, L"C:\\Users\\Arush\\Desktop\\test.dll");
loaderInfo.filename = file;
LPVOID structAddr = VirtualAllocEx(proc, nullptr, 0x1000, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(proc, structAddr, &loaderInfo, sizeof(loaderInfo), nullptr);
LPVOID codeAddr = VirtualAllocEx(proc, nullptr, 0x1000, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(proc, codeAddr, ldrstub, 0x1000, nullptr);
CreateRemoteThread(proc, nullptr, 0, (LPTHREAD_START_ROUTINE)codeAddr, reinterpret_cast<LOADER_STUB_INFO*>(structAddr), 0, nullptr);
system("pause");
return 0;
}
void __stdcall ldrstub(LOADER_STUB_INFO * ldrInfo)
{
auto _LdrLoadDll = ldrInfo->LdrLoadDll;
HANDLE handee;
_LdrLoadDll(nullptr, 0, &ldrInfo->filename, &handee);
}
解决方案
UNICODE_STRING filename;内部LOADER_STUB_INFO包含指针 - Buffer。您初始化此指针L"C:\\Users\\Arush\\Desktop\\test.dll"并按原样复制到远程进程。但在远程过程Buffer中当然无效。您需要分配和复制要加载到远程进程的dll的名称,而不是从本地进程指向它
推荐阅读
- highcharts - 无法在我的 yii2 项目中查看 highcharts
- spring-security - 无法使用 userdetailservice autoconfig 禁用 spring 安全性?
- python - 使用目录中的多个 ZIP 文件并使用 Python 转换、重命名文件
- angular - 如何从服务器注入对象?
- ios - 如何在iOS swift中为每个条形图创建一条限制线
- google-api - 谷歌发票 API,文档?
- excel - 在 VBA 中将 32 位 OleAut 调用转换为 64 位
- javascript - 角度无法将值设置为公共变量
- python-3.x - 从我的身体调用函数接收错误。
- javascript - Vue中实现tab的正确方法——依赖父子