dll劫持破坏360

  1. 前言
  2. 正文
  3. 防御方法

前言

早上研究某宏执行命令,然后想到能不能把这个该死的360给搞了。后面吃完饭发现,没法子想了一下看看能不能硬核绕60。没想到居然成了
2e31734e17694760fd94e1b1f1baeb1cafd2ea71.jpg

正文

实验环境:windows7
360版本:360安全卫士11

首先生成一个dll

msfvenom -p windows/exec CMD="calc.exe" -f dll > lbw.dll

我们使用Procmon来观察360缺少的dll

Procmon配置规则如下
AhpWjA.png

启动360safe.exe
Ah9SEV.md.png

其实大部分软件都有这个,后面我去问Yansu老哥,回答是

360是用vc写的,然后360没有自带这个dll

也就是说缺少这个dll都可以利用这个操作来搞事情。好像有道理
之前百度云也缺少这个,试了一下也可以,没想到360也缺少这个鬼东西
修改msf生成的dll名为api-ms-win-core-synch-l1-2-0,扔进C:\Windows文件夹里
重新执行360
Ah9nUK.gif

发现360执行之后会弹出calc,然后启动不成功了???fuck
尝试执行命令然后添加一个用户
AhC3JU.gif

你们在360运行的时候添加这个dll会怎么样呢??
AhCYQJ.gif

经过测试360有50%几率会正常运行,有50%的几率会崩溃。但是加速球不会挂掉
你点一下360就会触发dll了(崩溃也会触发dll)

当遇见类似于以下情况的时候可以试试:
拿到了管理员权限或system权限但是有360等等xxx
思路分享:安全狗+360全套添加账户时一些小技巧_91Ri.org

我在想可不可以组合攻击??

由于时间关系我先去上学,告辞

防御方法

将UAC提升到最高

转载请声明:转自422926799.github.io


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:dll劫持破坏360

本文作者:九世

发布时间:2019-04-07, 13:56:51

最后更新:2019-04-19, 20:36:16

原始链接:http://422926799.github.io/posts/c938687f.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录