Dll Injection - watek nie reaguje.

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

W ramach zabawy i nauki niskopoziomowej zamierzam wstrzyknać dllke do procesu kalkulatora i wyświetlić komunikat. Problem w tym, że wszystko niby przebiegło pomyślnie, kod injectora wykonał się poprawnie, ale dllka się nie wykonała. Proszę o sugestie co mogło pójść nie tak:

Kopiuj


DWORD Inject::CreateRemoteThreadW(PCWSTR pszLibFile, DWORD dwProcessId) {

	// Calculate the number of bytes needed for the DLL's pathname
	DWORD dwSize = (lstrlenW(pszLibFile) + 1) * sizeof(wchar_t);

	// Get process handle passing in the process ID
	HANDLE hProcess = OpenProcess(
		PROCESS_QUERY_INFORMATION |
		PROCESS_CREATE_THREAD |
		PROCESS_VM_OPERATION |
		PROCESS_VM_WRITE,
		FALSE, dwProcessId);
	if (hProcess == NULL)
	{
		wprintf(TEXT("[-] Error: Could not open process for PID (%d).\n"), dwProcessId);
		return(1);
	}

	// Allocate space in the remote process for the pathname
	LPVOID pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (pszLibFileRemote == NULL)
	{
		wprintf(TEXT("[-] Error: Could not allocate memory inside PID (%d).\n"), dwProcessId);
		return(1);
	}

	// Copy the DLL's pathname to the remote process address space
	DWORD n = WriteProcessMemory(hProcess, pszLibFileRemote, (PVOID)pszLibFile, dwSize, NULL);
	if (n == 0)
	{
		wprintf(TEXT("[-] Error: Could not write any bytes into the PID [%d] address space.\n"), dwProcessId);
		return(1);
	}

	// Get the real address of LoadLibraryW in Kernel32.dll
	PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
	if (pfnThreadRtn == NULL)
	{
		wprintf(TEXT("[-] Error: Could not find LoadLibraryA function inside kernel32.dll library.\n"));
		return(1);
	}

	// Create a remote thread that calls LoadLibraryW(DLLPathname)
	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL);
	if (hThread == NULL)
	{
		wprintf(TEXT("[-] Error: Could not create the Remote Thread.\n"));
		return(1);
	}
	else
		wprintf(TEXT("[+] Success: DLL injected via CreateRemoteThread().\n"));

	// Wait for the remote thread to terminate
	WaitForSingleObject(hThread, INFINITE);

	// Free the remote memory that contained the DLL's pathname and close Handles
	if (pszLibFileRemote != NULL)
		VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);

	if (hThread != NULL)
		CloseHandle(hThread);

	if (hProcess != NULL)
		CloseHandle(hProcess);

	return(0);
}

A tutaj kod DLL, prosty jak tylko być może

Kopiuj


// dllmain.cpp : Defines the entry point for the DLL application.
#include "pch.h"
#include <iostream>

BOOL APIENTRY DllMain(HMODULE hModule,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		std::cout << "Proc attach\n";

	case DLL_THREAD_ATTACH:
		std::cout << "Thread attach!\n";

	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}

	std::cout << "Hello World!\n";

	return TRUE;
}

Kopiuj


#include <iostream>
#include "Inject.h"
#include "SystemInformations.h"

int main()
{
	PCWSTR pszLibFile = NULL;
	pszLibFile = (wchar_t*)malloc((wcslen(L"sciezka do plika") + 1) * sizeof(wchar_t));
	pszLibFile = L"sciezka do plika";

	wchar_t x[] = L"Calculator.exe";
	wchar_t* point = x; 


	Inject injection;
	SystemInformations sysInfo;
	DWORD pid = sysInfo.findPidByName(point);

	injection.CreateRemoteThreadW(pszLibFile, pid);
}

edytowany 1x, ostatnio: Ulgikkksss 2019-12-09 17:06

AnyKtokolwiek 2019-12-09 17:53

Pisanie do trzech podstawowych plików nie wiem, czy jest możliwe w DLL

Ulgikkksss 2019-12-09 17:55

Próbowałem również na firefox. Bez skutku.

Delor 2019-12-09 18:30

Przekierowujesz gdzieś stdout przy wywoływaniu kalkulatora?

kq

2019-12-09 19:27

kq2019-12-09 19:27

Moderator C/C++

Rejestracja:prawie 12 lat
Ostatnio:około 7 godzin
Lokalizacja:Szczecin

0

To nie jest bezpośrednio ten problem, ale bez break drukujesz oba stringi przy DLL_PROCESS_ATTACH

Kopiuj

    case DLL_PROCESS_ATTACH:
        std::cout << "Proc attach\n";

    case DLL_THREAD_ATTACH:
        std::cout << "Thread attach!\n";

Ulgikkksss 2019-12-09 19:59

Fakt. Zapomniałem o break, ale po dodaniu ich nic się nie zmieniło.

Ulgikkksss

2019-12-09 19:53

Ulgikkksss2019-12-09 19:53

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@Delor: Nie rozumiem. Możesz rozjaśnić?

Delor

2019-12-09 20:11

Delor2019-12-09 20:11

Rejestracja:ponad 6 lat
Ostatnio:około 2 lata

0

Jak uruchamiasz kalkulator?
Jeżeli to jest aplikacja okienkowa to gdzie odczytujesz to co wysyłasz na stdout?

Ulgikkksss

2019-12-09 21:46

Ulgikkksss2019-12-09 21:46

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@Delor: Wychodziłem z założenia, że otworzy konsole. Zmieniłem na MessageBox i nadal brak odpowiedzi.

Delor

2019-12-09 22:35

Delor2019-12-09 22:35

Rejestracja:ponad 6 lat
Ostatnio:około 2 lata

0

Chyba najpewniej i najprościej będzie zapisać coś do pliku. Podaj absolutną ścieżkę do tego pliku.

Ulgikkksss

2019-12-10 11:56

Ulgikkksss2019-12-10 11:56

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@Delor: Więc faktycznie nawet DLL nie jest uruchomiana - ten sam kod oczywiście normalnie w aplikacji przechodzi. Pomysł gdzie może leżeć problem?

Kopiuj


#include "pch.h"
#include <iostream>
#include <fstream>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, L"Dll process attach", L"Info", MB_OK);
		break;

	case DLL_THREAD_ATTACH:
		MessageBox(NULL, L"Thread attach", L"Info", MB_OK);
		break;

	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}

	std::ofstream myfile("C:\\Users\\MojKomputer\\Desktop\\testowyplik.txt", std::ofstream::binary);

	myfile << "Bla bla bla\n";
	myfile.close();

	return TRUE;
}

Edit//

Okazuje się, że nie moge w ogóle załądować DLL z kodu, uchwyt jest nullem.

edytowany 2x, ostatnio: Ulgikkksss 2019-12-10 13:58

kq

2019-12-10 15:46

kq2019-12-10 15:46

Moderator C/C++

Rejestracja:prawie 12 lat
Ostatnio:około 7 godzin
Lokalizacja:Szczecin

0

Używasz biblioteki standardowej C++ - czy jest ta konkretnie wersja załadowana w programie docelowym? Sprawdź Dependency Walkerem czego potrzebujesz.

Ulgikkksss

2019-12-10 18:24

Ulgikkksss2019-12-10 18:24

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@MarekR22: Wybacz, ale uczę się C++ jakoś 4 dni. Wcześniej miałęm do czynienia z językiem wysokiego poziomu, stąd nie rozumiem. Możesz nieco rozjaśnic i zasugerować rozwiązanie?

MarekR22 2019-12-11 10:04

napisałem głupoty więc skasowałem, zważyłem po sprawdzeniu swojego kodu, który działa.

Ulgikkksss 2019-12-11 12:07

@MarekR22: Więc dlaczego mi wywala nulla przy tym samym? DLL działą po skopiowaniu kodu do innego projektu, ale RemoteThread nie zostaje utworzony.

MarekR22

2019-12-11 12:14

MarekR222019-12-11 12:14

Moderator C/C++

Rejestracja:około 17 lat
Ostatnio:mniej niż minuta

0

Zapewne GetProcAddress zawraca ci NULL ponieważ GetModuleHandle(TEXT("Kernel32")) zwraca ci NULL.
A czemu? Bo twój program nie jest zlinkowany z Kernel32, więc ta DLL-ka jest niewidoczna dla twojego programu.
Alternatywnie, możesz ręcznie załadować tą dll-kę wtedy będziesz miał do niej uchwyt.

Kolejny problem jaki może być to jak budujesz aplikację injectora? Czy to jest aplikacja 32bitowa czy 64bitowa?
Na Win10 kalkulator jest aplikacją 64bitową, więc twoja aplikacja i dll-ka też muszą takie być.

Wybacz, ale uczę się C++ jakoś 4 dni.

Jeśli tak to, na razie zostaw wszystkie niskopoziomowe rzeczy i inne hackowania. Opanuj podstawy programowania, a potem zajmij się WinAPI.

Zresztą to co robisz niewiele ma wspólnego z C++ to jest bardziej C.

edytowany 4x, ostatnio: MarekR22 2019-12-11 12:19

Ulgikkksss 2019-12-11 12:52

C++, winAPI i właśnie tego hacking to hobby. Po to się za ten język zabrałem. Na codzień pracuje jako programista webowy ;)

Ulgikkksss

2019-12-11 14:52

Ulgikkksss2019-12-11 14:52

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@MarekR22: No właśnie nie. DLL jest 64 bit, injector również. Jak wspomniałem wcześniej, przez LoadLibrary wszystko działa, dll wywołuje, ale mimo, że kod injectora przechodzi poprawnie to DLL wykonać się nie może. Nulla nigdzie nie mam.Próbowałem również z firefoxem i też bez skutku.

Delor 2019-12-11 15:55

"uchwyt jest nullem", " Więc dlaczego mi wywala nulla przy tym samym?", "Nulla nigdzie nie mam." Pogubiłem się.

Ulgikkksss 2019-12-11 16:12

@Delor: Przepraszam, mówie dwoma wątkami bez wyjaśnienia. W poprzedniej aplikacji (projekcie) uchwyt był nullem i DLL nie wczytywało. Po prostu w Visual stworzyłem nowy i stworzyłem klasy. Widocznie w tamtym brakowało jakiejś biblioteki, ale nie mogłem znaleźć jakiej konkretnie, więc tak było prościej. Teraz metoda injector.CreateRemoteThreadW przechodzi bez errora. Wątek zostaje stworzony, ale nadal jest brak reakcji ze strony DLL. Jednak jak wyżej napisałem ta sama DLLka działa gdy wczytuje ją dynamic via LoadLibrary() (cały czas mówie w kontekście nowego solution).

_0x666_

2019-12-12 12:11

_0x666_2019-12-12 12:11

Rejestracja:prawie 20 lat
Ostatnio:około rok
Postów:2440

1

Daj funkcji pełną ścieżkę do DLL-ki - katalog roboczy aplikacji infekowanej jest inny niż aplikacji infekującej.

Ulgikkksss

2019-12-12 13:26

Ulgikkksss2019-12-12 13:26

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

0x666 napisał(a):

Daj funkcji pełną ścieżkę do DLL-ki - katalog roboczy aplikacji infekowanej jest inny niż aplikacji infekującej.

Podałem absolutną ścieżke do pliku.

Czy może ktoś byłby na tyle uprzejmy aby skompilować powyższy kod u siebie i sprawdzić? Ponieważ widać rozwiązania się skończyły.

_0x666_

2019-12-12 13:56

_0x666_2019-12-12 13:56

Rejestracja:prawie 20 lat
Ostatnio:około rok
Postów:2440

0

Skompilowałem (z drobnymi poprawkami, w MinGW), działa ;)

Ulgikkksss 2019-12-12 14:34

Kosmetyczne poprawki czy logiczne? Jeśli kosmetyka to już nie rozumiem gdzie u mnie leży problem. Pozostaje mi sprawdzić na Win 7 i 8 w VirtualBoxie. Sprawdze też na koniec poza VS właśnie w MinGW.

_0x666_ 2019-12-12 14:42

Kosmetyka.

Azarien

2019-12-12 14:16

Azarien2019-12-12 14:16

Rejestracja:ponad 21 lat
Ostatnio:14 minut

0

MarekR22 napisał(a):

Zapewne GetProcAddress zawraca ci NULL ponieważ GetModuleHandle(TEXT("Kernel32")) zwraca ci NULL.
A czemu? Bo twój program nie jest zlinkowany z Kernel32, więc ta DLL-ka jest niewidoczna dla twojego programu.

To raczej nie jest możliwe akurat w przypadku kernel32.dll - ta biblioteka jest zawsze dostępna, z tego prostego powodu:

więc GetModuleHandle na kernel32 na pewno nie zwraca NULL.

k.jpg (46 KB) - ściągnięć: 163

edytowany 1x, ostatnio: Azarien 2019-12-12 14:18

MarekR22

2019-12-12 17:54

MarekR222019-12-12 17:54

Moderator C/C++

Rejestracja:około 17 lat
Ostatnio:mniej niż minuta

0

Jeszcze jedno pytanie, jaki masz program antywirusowy?
Możliwe, że paragram antywirusowy blokuje dll injection jako podejrzane zachowanie niezaufanej aplikacji.

Ulgikkksss

2019-12-13 12:25

Ulgikkksss2019-12-13 12:25

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@MarekR22: Windows defender na 10. Nie wyskakuje żadne powiadomienie.

Ulgikkksss

2019-12-14 13:54

Ulgikkksss2019-12-14 13:54

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

0x666 napisał(a):

Skompilowałem (z drobnymi poprawkami, w MinGW), działa ;)

Na win 8 na Virtual Boxie nadal brak odpowiedzi ze strony DLL. Wygląda na to, ze mam błąd w kodzie.

_0x666_

2019-12-14 14:17

_0x666_2019-12-14 14:17

Rejestracja:prawie 20 lat
Ostatnio:około rok
Postów:2440

0

To, co u mnie działa (Win8.1):

dll.cpp

Kopiuj

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, "Dll process attach", "Info", MB_OK);
		break;

	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}

	return TRUE;
}

main.cpp

Kopiuj

#include <windows.h>
#include <stdio.h>

DWORD InjectDll(PCWSTR pszLibFile, DWORD dwProcessId) 
{
	DWORD dwSize = (lstrlenW(pszLibFile) + 1) * sizeof(wchar_t);

	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, 
								FALSE, 
								dwProcessId);
	if (hProcess == NULL) {
		printf("[-] Error: Could not open process for PID (%d).\n", dwProcessId);
		return 1;
	}

	LPVOID pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (pszLibFileRemote == NULL) {
		printf("[-] Error: Could not allocate memory inside PID (%d).\n", dwProcessId);
		return 1;
	}

	DWORD n = WriteProcessMemory(hProcess, pszLibFileRemote, (PVOID)pszLibFile, dwSize, NULL);
	if (n == 0) {
		printf("[-] Error: Could not write any bytes into the PID [%d] address space.\n", dwProcessId);
		return 1;
	}

	PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryW");
	if (pfnThreadRtn == NULL) {
		printf("[-] Error: Could not find LoadLibraryA function inside kernel32.dll library.\n");
		return 1;
	}

	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL);
	if (hThread == NULL) {
		printf("[-] Error: Could not create the Remote Thread.\n");
		return 1;
	}
	else
		printf("[+] Success: DLL injected via CreateRemoteThread().\n");

	WaitForSingleObject(hThread, INFINITE);
	
	DWORD ExitCode;

	if (GetExitCodeThread(hThread, &ExitCode))
		printf("[+] Exit code: %d\n", ExitCode);

	if (pszLibFileRemote != NULL)
		VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);

	if (hThread != NULL)
		CloseHandle(hThread);

	if (hProcess != NULL)
		CloseHandle(hProcess);

	return 0;
}


int main()
{
	DWORD id;
	wchar_t path[MAX_PATH];

	if (scanf("%d", &id) == 1 && GetModuleFileNameW(NULL, path, MAX_PATH)) {
		*wcsrchr(path, L'\\') = 0;
		wcscat(path, L"\\libdll.dll");
		InjectDll(path, id);
	}

	return 0;
}

CMakeLists.txt

Kopiuj

cmake_minimum_required(VERSION 3.5)

project (dllinjector)

add_executable(injector main.cpp)
add_library(dll SHARED dll.cpp)

Kompilacja (w MSYS2):

mkdir build
cd build
cmake -G"MSYS Makefiles" ..
make

Wywołanie (dla włączonego uprzednio kalkulatora):

ps -aW | grep -i calc.exe | ./injector.exe

Ulgikkksss

2019-12-14 16:23

Ulgikkksss2019-12-14 16:23

Rejestracja:ponad 5 lat
Ostatnio:prawie 5 lat
Postów:37

0

@_0x666_: Twój kod działa. Teraz pozostaje mi zdebugować, dlaczego mój nie działał.
Nie rozumiem jednak dlaczego tak main() skomplikowałeś :)

U mnie to proste

Kopiuj

InjectDll(L"Dll1.dll", tu funkcja getPID);

edytowany 2x, ostatnio: Ulgikkksss 2019-12-14 16:23

_0x666_

2019-12-14 17:34

_0x666_2019-12-14 17:34

Rejestracja:prawie 20 lat
Ostatnio:około rok
Postów:2440

0

Przecież pisałem, że ścieżka do DLL-ki powinna być absolutna. Stąd to "komplikowanie". Mógłbym oczywiście na sztywno dać pełną ścieżkę, ale to prowizorka jest...

W sumie to

Kopiuj

*wcsrchr(path, L'\\') = 0;
wcscat(path, L"\\libdll.dll");

można zamienić na:

Kopiuj

wcscpy(wcsrchr(path, L'\\'), L"\\libdll.dll");

Dll Injection - watek nie reaguje.

Ulgikkksss

kq

Ulgikkksss

Delor

Ulgikkksss

Delor

Ulgikkksss

kq

Ulgikkksss

MarekR22

Ulgikkksss

_0x666_

Ulgikkksss

0x666 napisał(a):

_0x666_

Azarien

MarekR22 napisał(a):

MarekR22

Ulgikkksss

Ulgikkksss

0x666 napisał(a):

_0x666_

Ulgikkksss

_0x666_

Programista Systemów Automatyki - PCS7

PHP + Codeigniter 4 programista, aplikacja do fakturowania

DevOps Engineer - migracja serwerów (Kubernetes,Docker,RoR)

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami