钉钉邀请上台功能分析
2021-10-19 18:59:00 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏


本文为看雪论坛优秀文章
看雪论坛作者ID:凌哥

因为钉钉课堂不上台成员与上台成员延迟差距太大,而当人数过多时挨个邀请太费时间,又有部分成员有网络波动等原因导致需要反复邀请。所以为了解放老师上课的双手,这个产品就诞生了出来。

1、首先分析钉钉的一键邀请是如何发送到服务器的。

2、首先x32dbg附加tblive.exe进程对所有发包函数进行下断,sendto,send,WSASend,WSASendTo。

3、经过反复测试,点击邀请按钮没有任何一个函数被断下。

4、而我们也知道tblive进程是由DingTalk主进程创建出来的,那么他们可能存在管道通讯由主进程进行发包。

5、所以附加DingTalk进程,并重复上述操作,在WSASend函数断了下来。

6、那么回溯到函数外层查看传参的数据。
7、休息时思考了一下为什么tblive进程中对发包函数下断无法断下邀请上台功能,而在钉钉主进程却可以。那么就验证了我们上面分析的子进程和父进程直接是含有通讯,假设教师创建课堂的时候课堂会保存一个类这个类包含了课堂id,台下学生链表等必要信息。当一个学员点开视频则加入台下学生链表中,当教师点击台下学生邀请上台时。那么tblive就会组装消息通过子父进程通讯给钉钉主进程, 由主进程和服务器进行通讯完成该功能。那么子父进程的通讯常见的也就几种,通过测试可以发现钉钉采用的管道通讯。
8、分析钉钉的子父进程通讯,首先下断WriteFile的时候发现断点一直来,看来一眼线程模块,发现有很多线程,那么我作为开发角度一定会把io相关操作使用多线程避免阻塞主线程从而影响上课的网速。所以我这里首先暂停所有线程保留主线程,同时在WriteFile函数下断,点击邀请按钮查看WriteFile函数是否断下成功,结果也是显而易见的,并不能断下来。后续通过折半查找法,定位到了钉钉的消息队列处理线程。
9、只保留主线程和消息队列线程,再次给WriteFile函数下断并且点击邀请按钮,可以看到相关的重要信息。
10、通过这个信息,我们可以很确定的判断出我们的假想成立。那么现在需要的工作就是通过回溯找到关键call。
11、从该信息我们可以得知,需要完成这个功能至少需要classroom_id和uids。通过栈回溯,发现了一处代码使用了HeapFree函数,于是在HeapFree上下断再次点击邀请按钮。
12、再次将栈窗口滚动查看,于是我们看到了uids和classroom_id分开存放的位置,直觉告诉我距离关键call已经很近了。
13、我们向上回溯后很清晰的看到了他所传入的两个call,一个为uids一个为classroom_id。
14、通过测试,我们发现这个call是可以用来邀请人员的,而他的id是一个结构体,包含了uids的长度,否则在组包的时候会被截断。通过函数的头和尾部,不难看出这是一个类对象的成员函数,而他的外部call只是给ecx进行了一次赋值,没有做多余的操作,而这个ecx恰巧是被邀请人的对象指针。通过替换ecx指针为不同人的话也可以办到邀请不同的人。他要比内部call更为简单,所以我们准备采用这个call作为邀请call。
1、那么距离自动邀请,还差一个成员指针从何而来。通过分析钉钉的行为,我们得知一个信息就是,每当台下人员有所变动后所有的成员指针都会被释放掉并且重新new一片空间。所以只要我们找到了哪里对他们进行生成的函数,我们就可以通过hook得到最新的成员指针地址,所以对tblive的malloc函数下断。
2、而malloc函数一直来断点很影响我们的判断,而我看到了malloc的eax他有模块地址的信息,而我们也确切直到成员的函数指针在模块classroom.dll下面,所以对齐断点设置条件断点当eax的值在classroom.dll的范围内的时候再断下来。
3、我们现在将台下成员进行变动一下,malloc被断下来了,通过观察堆栈,看看是否有相关的敏感信息,F9了几下我们就看到了栈中的classroom_id和uids了。所以这个时候取消malloc的断点开始向上回溯,停到疑似创建成员指针的位置后下断重新变动台下成员,经过验证这个call则为创建成员指针。
4、那么已知条件已经具备,附上我的代码。通过劫持注入的方式可以当钉钉创建tblive的时候我的dll也就被加载了,同时也将附带上自动邀请的功能,可以让老师不用频繁的拉人上台了。注意劫持的dll是air2.dll,将原dll名称改为air2Org.dll即可。
#include "pch.h" #include <Windows.h>#pragma comment(linker,"/EXPORT:?air_roi_create@@YAHPAPAXABV?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@@Z=air2Org.?air_roi_create@@YAHPAPAXABV?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@@Z")#pragma comment(linker,"/EXPORT:?air_roi_destroy@@YAHPAX@Z=air2Org.?air_roi_destroy@@YAHPAX@Z")#pragma comment(linker,"/EXPORT:?air_roi_detect@@YAHPAXPBEHHHW4air_pixel_format@@PAEHH@Z=air2Org.?air_roi_detect@@YAHPAXPBEHHHW4air_pixel_format@@PAEHH@Z")#pragma comment(linker,"/EXPORT:air_dl_segment_create=air2Org.air_dl_segment_create")#pragma comment(linker,"/EXPORT:air_dl_segment_destroy=air2Org.air_dl_segment_destroy")#pragma comment(linker,"/EXPORT:air_dl_segment_detect=air2Org.air_dl_segment_detect")#pragma comment(linker,"/EXPORT:air_dl_segment_get_insize=air2Org.air_dl_segment_get_insize")  // 创建成员指针偏移const DWORD g_dwCreateMemberOffset = 0x1E1523;const DWORD g_dwOrginCallOffset = 0x36BB;// 邀请call偏移const DWORD g_dwInviteCallOffset = 0x1974c0;  #define HOOK_LEN 5VOID SetHook(DWORD_PTR dwHookAddr, LPVOID dwPfnAddr, BYTE* btBackCode){    // 准备HOOK    BYTE btJmp[HOOK_LEN] = { 0xE9 ,0,0,0,0 };    *(DWORD*)&btJmp[1] = (DWORD)dwPfnAddr - dwHookAddr - HOOK_LEN;    // 获取自身进程句柄    HANDLE hProcess = GetCurrentProcess();    // 备份数据    if (!ReadProcessMemory(hProcess, (LPVOID)dwHookAddr, btBackCode, HOOK_LEN, NULL))    {        MessageBox(NULL, "HOOK失败", NULL, NULL);        return;    }    // 开始hook    if (!WriteProcessMemory(hProcess, (LPVOID)dwHookAddr, btJmp, HOOK_LEN, NULL))    {        MessageBox(NULL, "HOOK失败", NULL, NULL);        return;    }} VOID UnSetHook(DWORD_PTR dwHookAddr, BYTE* btBackCode){    // 获取自身进程句柄    HANDLE hProcess = GetCurrentProcess();    // 卸载hook    if (!WriteProcessMemory(hProcess, (LPVOID)dwHookAddr, btBackCode, HOOK_LEN, NULL))    {        MessageBox(NULL, "卸载HOOK失败", NULL, NULL);        return;    }} // 邀请原数据DWORD g_dwCreateMemberOrgCallAddr = NULL;DWORD g_dwCreateMemberAddr = NULL;BYTE g_btCreateMemberCode[5]{};DWORD g_dwCreateMemberCallback = NULL;DWORD g_dwInvateCallAddr = NULL;DWORD g_dwMemberPoint = NULL;void AutoInviteMember(){    __asm    {        mov ecx, g_dwMemberPoint        call g_dwInvateCallAddr    }    return;} _declspec(naked) void HookCreateMemberFunc(){    __asm     {        pushad        pushf        mov eax, dword ptr ss:[ebp - 0x48]        mov [g_dwMemberPoint], eax    }    AutoInviteMember();    __asm    {        popf        popad        call g_dwCreateMemberOrgCallAddr        jmp g_dwCreateMemberCallback    }} // 入口函数BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved){    if (dwReason == DLL_PROCESS_ATTACH)    {        // 初始化数据        DWORD dwClassroomHandle = (DWORD)GetModuleHandle("classroom.dll");        g_dwInvateCallAddr = dwClassroomHandle + g_dwInviteCallOffset;        g_dwCreateMemberAddr = dwClassroomHandle + g_dwCreateMemberOffset;        g_dwCreateMemberCallback = g_dwCreateMemberAddr + HOOK_LEN;        g_dwCreateMemberOrgCallAddr = dwClassroomHandle + g_dwOrginCallOffset;         // HOOK加入成员生成指针部分        SetHook(g_dwCreateMemberAddr, HookCreateMemberFunc, g_btCreateMemberCode);    }    else if (dwReason == DLL_PROCESS_DETACH)    {        UnSetHook(g_dwCreateMemberAddr, g_btCreateMemberCode);    }        return TRUE;}

 

看雪ID:凌哥

https://bbs.pediy.com/user-home-870110.htm

*本文由看雪论坛 凌哥 原创,转载请注明来自看雪社区

# 往期推荐

1.Android APP漏洞之战——Activity漏洞挖掘详解

2.少量虚假控制流混淆后的算法还原案例

3.ollvm反混淆学习

4.PHP反序列化漏洞基础

5.DAP-LINK研究笔记-用STM32单片机替换J-LINK

6.羊城杯部分逆向wp

公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]

球分享

球点赞

球在看

点击“阅读原文”,了解更多!


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458398080&idx=1&sn=1438f3db7d878da9a3c72cadb9e566d6&chksm=b18f1d0a86f8941c6d850df67ee2f05a19de4c324d393f88efb890826d188ce2c79c2a6b51c8#rd
如有侵权请联系:admin#unsafe.sh