| 浏览器的开发一直编程人员最为扎堆的一个项目,国内在这一方面也不乏很多经典之作,如遨游、搜狗、360安全浏览器等等。无论是最元老级别的微软IE浏览器,还是现在一些外包浏览器,它们在安全方面都或多或少存在问题,除去我们常见的缓冲区溢出漏洞、跨域脚本执行漏洞,一些特殊的安全漏洞也是值得安全人员注意的,这里我们给大家带来的两个安全漏洞就属于浏览器软件的“Dllhi jack”漏洞。 “Dllhi jack”顾名思义就是对d11文件的劫持,简单地说,一个软件在开发的时候, 如果调用了某个dll,但是在最后发布的时候却没有将这个dll打包,那么,软件在运行的 时候就会试图寻找这个dll,这个时候,我们就可以制造一个特殊的dll,让其冒充那个软 件真正寻找的dll,从而让软件加载我们的特殊dll,运行其中的恶意代码。 从原本的意义上讲,“Dllhijack”中使用的特殊dll应该存在于用户系统的本地硬盘 上,不然用户系统中的软件怎么知道从哪里加载dll。更严格地规定应该是特殊dll必须存 在于软件程序自身的文件目录当中,应该与软件的主程序在一起。如果真的是这样的话,那么,我想‘如如扣士”的意义就不大了,要知道当我们有权利将特殊dll放到用户系统当 中时,我们都已经获得进入用户系统的权利,还要“Dllhijack”干什么呢? 还好,拜微软所赐,Windows系统下的软件在寻找要加载的Dll时,是按照一定的路 径来搜索的。这个路径次序中包含了除用户系统以外的目录。下面,我们就结合两个真实的 “Dllhijack”漏洞来给大家做以说明。 第一个“Dllhijack”案例涉及到的软件是“E影智能浏览器”的2012.194版本。当 我们使用filemon这款软件监视“e影智能浏览器”的运行过程时,我们发现“e影智能浏览器”在试图加载一个不存在的Dll文件,如图1所示。  从图1中’我们看到‘E影智能浏览器”试图在多个目录下搜寻一个名为‘quserex.dll” 的dll文件(注意windows系统下不区分文件名的大小写)。 现在,我们随意编写一个1^0网页文件,其中的代码可以是简单的“<b>测试</b>”, 将该网页文件放置在局域网中一台计算机的共享目录下,为了后面的区别,我们这里简称为A计算机的A目录。同时,我们利用70这款编程软件,编写一个简单的dll文件。其代码如下: #include "stdafx. h" BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { WinExec("calc. exe' SW_NORMAL); return TRUE; 这是一个简单得不能再简单的D11,它的作用只有一个就是运行Windows系统自带的 计算器程序。编译这段代码,最终生成一个dll文件,我们将其改名为“quserex.dll”,并且,将这个“quserex.dll”也放置在A计算机的A目录当中。 现在,我们在局域网中的另外一台计算机B上安装上“E影智 版本,我们将此浏览器设置为默认浏览器,接着,我们从B计算机中的那个htm网页文件,这个时候,“E影智能浏览器”, 件,以此同时,我们发现8计算机上运行了很多的计算器程序,如图2所示。  毫无疑问,我们的“quserex.dll”这个Dll文件被“E影智能浏览器”当做自己需要的那个dll文件给自动加载了,而此时,这个伪造的“quserex.dll”却是在远程计算机A上。 上面这个案例告诉我们,“Dllhijack”是可以成功被用于远程攻击的,Windows系统 的库文件搜索机制造就了我们借助“Dllhijack”实现远程执行任意代码的目的,漏洞的危害性骤然变大。 同样的问题也出现在了 “闪游浏览器”上。利用filemon我们监测到“闪游浏览器” 试图加载一个名为“dwmapi.dll”的Dll文件。 于是,我们可以将上面第一个案例中的“quserex.dll”修改为“dwmapi.dll”,还是将其与htm网页文件一起放置在A计算机的A目录当中,然后,在B计算机上使用“闪游浏览器”打开htm网页文件,你会发现计算器程序依旧被执行了,如图4所示。  不过做这个实验请千万注意,“闪游浏览器”在加载我们的“dwmapi.dll”后,会循环 调用该库文件,于是会连续打开计算器程序,所以大家注意赶紧关闭,以免造成计算机系统 “死机”。 |
