D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Спойлер: TeamViewer 5
Значится имеем "эксплоит" нацеленный на dwmapi.dll
Но по сути мы можем использовать хиджакинг почти с любым легитимным софтом
Первым делом проверяются известные длл:
Спойлер: KnownDlls
Затем проверяется папка где находится ехешник
Без длинной тягомотины:
Берем практически любой белый софт
Смотрим импорты
Прогоняем дебагером на LoadLibraryA+W
Составляем список загружающихся дллок
Затем исключаем из него те, что есть в KnownDlls и получаем достаточно объемный список дллок для хиджака
Залезаем в дебагер, ставим бряки на все экспортируемые функции всех дллок, пробегаем код и составляем список вызываемых функций
В спойлере помечено через "->"
Спойлер: TeamViewer 5 dlls
Код: Скопировать в буфер обмена
Далее пишем дллку и выкидываем на экспорт самопальную функцию(можно еще и с аргументами, и сделать их проверку)
Еще вариант: в дллмейн грузить используемую белым софтом длл - например gdi32.dll
затем ставить EAT хук на условный GetStockObject
-> белое ПО вызвав функцию из gdi32 вызовет наш код
А запуск длл без этого легит софта или через rundll32 не запустит пейлоад
Значится имеем "эксплоит" нацеленный на dwmapi.dll
Но по сути мы можем использовать хиджакинг почти с любым легитимным софтом
Первым делом проверяются известные длл:
Спойлер: KnownDlls
Затем проверяется папка где находится ехешник
Без длинной тягомотины:
Берем практически любой белый софт
Смотрим импорты
Прогоняем дебагером на LoadLibraryA+W
Составляем список загружающихся дллок
Затем исключаем из него те, что есть в KnownDlls и получаем достаточно объемный список дллок для хиджака
Залезаем в дебагер, ставим бряки на все экспортируемые функции всех дллок, пробегаем код и составляем список вызываемых функций
В спойлере помечено через "->"
Спойлер: TeamViewer 5 dlls
Код: Скопировать в буфер обмена
Код:
// version.dll -> GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
// TeamViewer_Resource.dll
// wtsapi32.dll
// msimg32.dll
// dwmapi32.dll
// userenv32.dll
// tv.dll
// Secur32.dll
// Netapi32.dll
// wintrust.dll -> WinVerifyTrust
// iphlpapi.dll
// winsta.dll
// uxtheme.dll
// SHFolder.dllДалее пишем дллку и выкидываем на экспорт самопальную функцию(можно еще и с аргументами, и сделать их проверку)
Еще вариант: в дллмейн грузить используемую белым софтом длл - например gdi32.dll
затем ставить EAT хук на условный GetStockObject
-> белое ПО вызвав функцию из gdi32 вызовет наш код
А запуск длл без этого легит софта или через rundll32 не запустит пейлоад
View hidden content is available for registered users!