Dll Injection - watek nie reaguje.

0

W ramach zabawy i nauki niskopoziomowej zamierzam wstrzyknać dllke do procesu kalkulatora i wyświetlić komunikat. Problem w tym, że wszystko niby przebiegło pomyślnie, kod injectora wykonał się poprawnie, ale dllka się nie wykonała. Proszę o sugestie co mogło pójść nie tak:


DWORD Inject::CreateRemoteThreadW(PCWSTR pszLibFile, DWORD dwProcessId) {

	// Calculate the number of bytes needed for the DLL's pathname
	DWORD dwSize = (lstrlenW(pszLibFile) + 1) * sizeof(wchar_t);

	// Get process handle passing in the process ID
	HANDLE hProcess = OpenProcess(
		PROCESS_QUERY_INFORMATION |
		PROCESS_CREATE_THREAD |
		PROCESS_VM_OPERATION |
		PROCESS_VM_WRITE,
		FALSE, dwProcessId);
	if (hProcess == NULL)
	{
		wprintf(TEXT("[-] Error: Could not open process for PID (%d).\n"), dwProcessId);
		return(1);
	}

	// Allocate space in the remote process for the pathname
	LPVOID pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (pszLibFileRemote == NULL)
	{
		wprintf(TEXT("[-] Error: Could not allocate memory inside PID (%d).\n"), dwProcessId);
		return(1);
	}

	// Copy the DLL's pathname to the remote process address space
	DWORD n = WriteProcessMemory(hProcess, pszLibFileRemote, (PVOID)pszLibFile, dwSize, NULL);
	if (n == 0)
	{
		wprintf(TEXT("[-] Error: Could not write any bytes into the PID [%d] address space.\n"), dwProcessId);
		return(1);
	}

	// Get the real address of LoadLibraryW in Kernel32.dll
	PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
	if (pfnThreadRtn == NULL)
	{
		wprintf(TEXT("[-] Error: Could not find LoadLibraryA function inside kernel32.dll library.\n"));
		return(1);
	}

	// Create a remote thread that calls LoadLibraryW(DLLPathname)
	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL);
	if (hThread == NULL)
	{
		wprintf(TEXT("[-] Error: Could not create the Remote Thread.\n"));
		return(1);
	}
	else
		wprintf(TEXT("[+] Success: DLL injected via CreateRemoteThread().\n"));

	// Wait for the remote thread to terminate
	WaitForSingleObject(hThread, INFINITE);

	// Free the remote memory that contained the DLL's pathname and close Handles
	if (pszLibFileRemote != NULL)
		VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);

	if (hThread != NULL)
		CloseHandle(hThread);

	if (hProcess != NULL)
		CloseHandle(hProcess);

	return(0);
}

A tutaj kod DLL, prosty jak tylko być może


// dllmain.cpp : Defines the entry point for the DLL application.
#include "pch.h"
#include <iostream>

BOOL APIENTRY DllMain(HMODULE hModule,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		std::cout << "Proc attach\n";

	case DLL_THREAD_ATTACH:
		std::cout << "Thread attach!\n";

	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}

	std::cout << "Hello World!\n";

	return TRUE;
}


#include <iostream>
#include "Inject.h"
#include "SystemInformations.h"

int main()
{
	PCWSTR pszLibFile = NULL;
	pszLibFile = (wchar_t*)malloc((wcslen(L"sciezka do plika") + 1) * sizeof(wchar_t));
	pszLibFile = L"sciezka do plika";

	wchar_t x[] = L"Calculator.exe";
	wchar_t* point = x; 


	Inject injection;
	SystemInformations sysInfo;
	DWORD pid = sysInfo.findPidByName(point);

	injection.CreateRemoteThreadW(pszLibFile, pid);
}

0

To nie jest bezpośrednio ten problem, ale bez break drukujesz oba stringi przy DLL_PROCESS_ATTACH

    case DLL_PROCESS_ATTACH:
        std::cout << "Proc attach\n";

    case DLL_THREAD_ATTACH:
        std::cout << "Thread attach!\n";

0

@Delor: Nie rozumiem. Możesz rozjaśnić?

0

Jak uruchamiasz kalkulator?
Jeżeli to jest aplikacja okienkowa to gdzie odczytujesz to co wysyłasz na stdout?

0

@Delor: Wychodziłem z założenia, że otworzy konsole. Zmieniłem na MessageBox i nadal brak odpowiedzi.

0

Chyba najpewniej i najprościej będzie zapisać coś do pliku. Podaj absolutną ścieżkę do tego pliku.

0

@Delor: Więc faktycznie nawet DLL nie jest uruchomiana - ten sam kod oczywiście normalnie w aplikacji przechodzi. Pomysł gdzie może leżeć problem?


#include "pch.h"
#include <iostream>
#include <fstream>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, L"Dll process attach", L"Info", MB_OK);
		break;

	case DLL_THREAD_ATTACH:
		MessageBox(NULL, L"Thread attach", L"Info", MB_OK);
		break;

	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}

	std::ofstream myfile("C:\\Users\\MojKomputer\\Desktop\\testowyplik.txt", std::ofstream::binary);

	myfile << "Bla bla bla\n";
	myfile.close();

	return TRUE;
}

Edit//

Okazuje się, że nie moge w ogóle załądować DLL z kodu, uchwyt jest nullem.

0

Używasz biblioteki standardowej C++ - czy jest ta konkretnie wersja załadowana w programie docelowym? Sprawdź Dependency Walkerem czego potrzebujesz.

0

@MarekR22: Wybacz, ale uczę się C++ jakoś 4 dni. Wcześniej miałęm do czynienia z językiem wysokiego poziomu, stąd nie rozumiem. Możesz nieco rozjaśnic i zasugerować rozwiązanie?

0

Zapewne GetProcAddress zawraca ci NULL ponieważ GetModuleHandle(TEXT("Kernel32")) zwraca ci NULL.
A czemu? Bo twój program nie jest zlinkowany z Kernel32, więc ta DLL-ka jest niewidoczna dla twojego programu.
Alternatywnie, możesz ręcznie załadować tą dll-kę wtedy będziesz miał do niej uchwyt.

Kolejny problem jaki może być to jak budujesz aplikację injectora? Czy to jest aplikacja 32bitowa czy 64bitowa?
Na Win10 kalkulator jest aplikacją 64bitową, więc twoja aplikacja i dll-ka też muszą takie być.

Wybacz, ale uczę się C++ jakoś 4 dni.

Jeśli tak to, na razie zostaw wszystkie niskopoziomowe rzeczy i inne hackowania. Opanuj podstawy programowania, a potem zajmij się WinAPI.

Zresztą to co robisz niewiele ma wspólnego z C++ to jest bardziej C.

0

@MarekR22: No właśnie nie. DLL jest 64 bit, injector również. Jak wspomniałem wcześniej, przez LoadLibrary wszystko działa, dll wywołuje, ale mimo, że kod injectora przechodzi poprawnie to DLL wykonać się nie może. Nulla nigdzie nie mam.Próbowałem również z firefoxem i też bez skutku.

1

Daj funkcji pełną ścieżkę do DLL-ki - katalog roboczy aplikacji infekowanej jest inny niż aplikacji infekującej.

0

0x666 napisał(a):

Daj funkcji pełną ścieżkę do DLL-ki - katalog roboczy aplikacji infekowanej jest inny niż aplikacji infekującej.

Podałem absolutną ścieżke do pliku.

Czy może ktoś byłby na tyle uprzejmy aby skompilować powyższy kod u siebie i sprawdzić? Ponieważ widać rozwiązania się skończyły.

0

Skompilowałem (z drobnymi poprawkami, w MinGW), działa ;)

0

MarekR22 napisał(a):

Zapewne GetProcAddress zawraca ci NULL ponieważ GetModuleHandle(TEXT("Kernel32")) zwraca ci NULL.
A czemu? Bo twój program nie jest zlinkowany z Kernel32, więc ta DLL-ka jest niewidoczna dla twojego programu.

To raczej nie jest możliwe akurat w przypadku kernel32.dll - ta biblioteka jest zawsze dostępna, z tego prostego powodu:

więc GetModuleHandle na kernel32 na pewno nie zwraca NULL.

0

Jeszcze jedno pytanie, jaki masz program antywirusowy?
Możliwe, że paragram antywirusowy blokuje dll injection jako podejrzane zachowanie niezaufanej aplikacji.

0

@MarekR22: Windows defender na 10. Nie wyskakuje żadne powiadomienie.

0

0x666 napisał(a):

Skompilowałem (z drobnymi poprawkami, w MinGW), działa ;)

Na win 8 na Virtual Boxie nadal brak odpowiedzi ze strony DLL. Wygląda na to, ze mam błąd w kodzie.

0

To, co u mnie działa (Win8.1):

dll.cpp

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		MessageBox(NULL, "Dll process attach", "Info", MB_OK);
		break;

	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}

	return TRUE;
}

main.cpp

#include <windows.h>
#include <stdio.h>

DWORD InjectDll(PCWSTR pszLibFile, DWORD dwProcessId) 
{
	DWORD dwSize = (lstrlenW(pszLibFile) + 1) * sizeof(wchar_t);

	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, 
								FALSE, 
								dwProcessId);
	if (hProcess == NULL) {
		printf("[-] Error: Could not open process for PID (%d).\n", dwProcessId);
		return 1;
	}

	LPVOID pszLibFileRemote = (PWSTR)VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);
	if (pszLibFileRemote == NULL) {
		printf("[-] Error: Could not allocate memory inside PID (%d).\n", dwProcessId);
		return 1;
	}

	DWORD n = WriteProcessMemory(hProcess, pszLibFileRemote, (PVOID)pszLibFile, dwSize, NULL);
	if (n == 0) {
		printf("[-] Error: Could not write any bytes into the PID [%d] address space.\n", dwProcessId);
		return 1;
	}

	PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryW");
	if (pfnThreadRtn == NULL) {
		printf("[-] Error: Could not find LoadLibraryA function inside kernel32.dll library.\n");
		return 1;
	}

	HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL);
	if (hThread == NULL) {
		printf("[-] Error: Could not create the Remote Thread.\n");
		return 1;
	}
	else
		printf("[+] Success: DLL injected via CreateRemoteThread().\n");

	WaitForSingleObject(hThread, INFINITE);
	
	DWORD ExitCode;

	if (GetExitCodeThread(hThread, &ExitCode))
		printf("[+] Exit code: %d\n", ExitCode);

	if (pszLibFileRemote != NULL)
		VirtualFreeEx(hProcess, pszLibFileRemote, 0, MEM_RELEASE);

	if (hThread != NULL)
		CloseHandle(hThread);

	if (hProcess != NULL)
		CloseHandle(hProcess);

	return 0;
}


int main()
{
	DWORD id;
	wchar_t path[MAX_PATH];

	if (scanf("%d", &id) == 1 && GetModuleFileNameW(NULL, path, MAX_PATH)) {
		*wcsrchr(path, L'\\') = 0;
		wcscat(path, L"\\libdll.dll");
		InjectDll(path, id);
	}

	return 0;
}

CMakeLists.txt

cmake_minimum_required(VERSION 3.5)

project (dllinjector)

add_executable(injector main.cpp)
add_library(dll SHARED dll.cpp)

Kompilacja (w MSYS2):

mkdir build
cd build
cmake -G"MSYS Makefiles" ..
make

Wywołanie (dla włączonego uprzednio kalkulatora):

ps -aW | grep -i calc.exe | ./injector.exe

0

@_0x666_: Twój kod działa. Teraz pozostaje mi zdebugować, dlaczego mój nie działał.
Nie rozumiem jednak dlaczego tak main() skomplikowałeś :)

U mnie to proste

InjectDll(L"Dll1.dll", tu funkcja getPID);

0

Przecież pisałem, że ścieżka do DLL-ki powinna być absolutna. Stąd to "komplikowanie". Mógłbym oczywiście na sztywno dać pełną ścieżkę, ale to prowizorka jest...

W sumie to

*wcsrchr(path, L'\\') = 0;
wcscat(path, L"\\libdll.dll");

można zamienić na:

wcscpy(wcsrchr(path, L'\\'), L"\\libdll.dll");

Dll Injection - watek nie reaguje.

0x666 napisał(a):

MarekR22 napisał(a):

0x666 napisał(a):

1 użytkowników online, w tym zalogowanych: 0, gości: 1

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami