打開記事本就能中木馬？微軟到現在都不太關心的DLL劫持漏洞

微軟在2010年的2269637號安全公告中披露了Dll劫持漏洞（DLL Hijacking Exploit）。國外安全公司Authentium在博客中描述DLL劫持漏洞時，用The world is going to end（世界末日）做標題。七年過去了，DLL劫持技術也已經是黑客們殺人越貨，打家劫舍必備的武器。但就是這樣一個漏洞，微軟似乎卻沒有放在心上，隻是輕描淡寫地修改了一下注冊表完事。

海陽頂端黑客今天來教你一招，利用此漏洞打開這記事本就能運行你的程序，從製作方法到原理讓你明明白白。你也不用擔心你的計算機水平，看完我的文章，人人都會製作的。

一、製作前的準備工作，生成一個運行計算器的dll。

(1) 去https://pentestbox.org/zh/#download下載pentestbox，記得下載安裝有 Metasploit 的 PentestBox。

下載安裝完畢後，直接點擊目錄裏的PentestBox.exe或PentestBox.bat。如果你是WIN10 係統的話，記住要在出來的界麵裏打輸一次CMD，要不沒法用，這算是它的BUG了，其它係統你直接用就行，不用輸CMD。

(2) 一條命令生成一個可以運行計算器的cryptbase.dll文件，我是生成在了D盤。 如果你想執行別的命令，學習下Metasploit吧。

執行：msfvenom -p windows/exec CMD=calc.exe -f dll -o d:/cryptbase.dll

二、準備一台win7 32位的機器進行測試。

（1）拷貝win732機器裏的記事本程序notepad.exe和步驟一裏生成的cryptbase.dll放在同一個目錄。

（2）點擊記事本程序notepad.exe，計算器就會彈了出來。

三、這個漏洞的原理是什麼？

在Windows係統中，為了節省內存和實現代碼重用，微軟在Windows操作係統中實現了一種共享函數庫的方式，這就是DLL文件。係統調用DLL時會依次從下麵幾個位置去查找所需要調用的DLL文件。

1.程序所在目錄。

2.加載 DLL 時所在的當前目錄。

3.係統目錄即 SYSTEM32 目錄。

4.16位係統目錄即 SYSTEM 目錄。

5.Windows目錄。

6.PATH環境變量中列出的目錄

因為我們把cryptbase.dll放在了notepad.exe的同目錄，所以首先第一個調用的就是同目錄下的cryptbase.dll文件。

四、你怎麼知道要用cryptbase.dll這個文件名？

這個你可以用filemon軟件，打開之後，點擊那個小漏鬥圖標，輸入notepad.exe進行過濾。然後你再打開你copy出來的notepad.exe進行捕獲，你會看到很多信息。你看我下圖中，我鼠標點高亮的那一行有個NOT FOUND選項。意思是在當前目錄中沒有找到cryptbase.dll文件。那麼自然而然，我們找到的能利用的就是cryptbase.dll這個文件了。如果你會了的話，你能找到win7 x64位的的可利用文件名嗎？

五、微軟做了哪些補丁措施？

微軟為了更進一步的防禦係統的DLL被劫持，將一些容易被劫持的係統DLL寫進了一個注冊表項中，那麼凡是此項下的DLL文件就會被禁止從EXE自身所在的目錄下調用，而隻能從係統目錄即SYSTEM32目錄下調用。注冊表路徑如下：

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

下圖是我在win10中的注冊表選項，注冊表裏的dll隻能讓你從system32下調用了。

不過，微軟又莫名其妙的允許用戶在上述注冊表路徑中添加“ExcludeFromKnownDlls”注冊表項，排除一些被“KnownDLLs注冊表項”機製保護的DLL。也就是說，隻要在“ExcludeFromKnownDlls”注冊表項中添加你想劫持的DLL名稱就可以對該DLL進行劫持，不過修改之後需要重新啟動電腦才能生效。

但是呢，這個補丁對我們的辦法來講是不起作用的，因為我們找到的是係統目錄下未加載的而且在當前目錄下找不到的DLL，而且我們的搜索順序是排在第一位的，是不是非常可怕呢？所以如果有陌生人給你發一個帶DLL的文件夾，無論同目錄底下是什麼文件你都要小心了，這是來自海陽頂端黑客的善意提醒，如果你實在忍不住好奇心，那就在虛擬機中打開吧。這篇文章方法是簡單的，原理有點深了，不知道頭條的觀眾能不能接受得了，但是我相信大家還是能看明白的，我追求的是黑客技術，流量就次要吧。