怎么使用ExecuteAssembly实现.NET程序加载和注入

发布时间:2021-10-15 15:48:31 作者:iii
来源:亿速云 阅读:221

这篇文章主要讲解了“怎么使用ExecuteAssembly实现.NET程序加载和注入”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“怎么使用ExecuteAssembly实现.NET程序加载和注入”吧!

关于ExecuteAssembly

ExecuteAssembly是CS可执行组件的一个替代方案,ExecuteAssembly基于C/C++构建,可以帮助广大研究人员实现.NET程序集的加载和注入。ExecuteAssembly复用了主机进程spawnto来加载CLR模块/AppDomainManager,Stomping加载器/.NET程序集PE DOS头,并卸载了.NET相关模块,以实现ETW+AMSI绕过。除此之外,它还能够绕过基于NT静态系统调用的EDR钩子,以及通过动态解析API(superfasthash哈希算法)实现隐藏导入。

功能介绍

从PEB数据结构体中卸载了CLR相关模块;

对.NET程序集和反射型DLL头进行了流处理;

使用静态硬编码系统调用绕过EDR钩子;

CLR “AppDomain/AppDomainManager”枚举和重用;

WIn32 API动态解析,基于API响应哈希实现;

在加载.NET程序集之后实现AMSI和ETW修复;

.NET程序集字节解析,扫描需要加载和使用的CLR版本;

未使用GetProcAddress/LoadLibrary/GetModuleHandle以实现ETW绕过;

使用了v4 COM API & 反射DLL注入实现CLR托管;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/med0x2e/ExecuteAssembly.git

工具使用

x64(syscalls):这个版本主要依赖于使用静态系统调用来绕过EDR钩子,你可以使用这个版本来构建x64版本的DLL(目前只支持x64)。

x86|x64(PEB):通过遍历PEB模块EAP表并通过superfasthash哈希解析API,在运行时动态检索所需的API地址。但是,这并没有考虑kernel32.dll或ntdll.dll中EDR钩子的设置位置,我们可以使用此版本同时生成x86和x64 DLL,或仅生成x86 DLL,并使用x64(syscalls)版本生成x64 DLL以应对常见的EDR钩子。

使用VS2017或Windows SDK 10.0.17134.0(或兼容SDK版本)构建所需的DLL。

确保已装好了gzip,并且确保相同目录下已存放下列组件,并加载脚本“ExecuteAssembly.cna”:

ExecuteAssembly.cna

ExecuteAssembly-x64.dll

ExecuteAssembly-x86.dll

命令行接口选项

--dotnetassembly: .NET Assembly to load/inject.

--assemblyargs: .NET assembly arguments.

--unlink-modules: Unlink .NET related modules such as CLR/MsCoree related DLLs from PEB data structures.

--stomp-headers: Stomp .NET assembly and reflective DLL PE DOS headers.

--etw: Bypass event tracing on windows (ETW).

--amsi: Bypass AMSI.

--spawnto: Choose spawnto process, list of .NET binaries loading the CLR by default when executed:

      - PresentationHost.exe

      - stordiag.exe

      - ScriptRunner.exe

      - caitstatic.exe

      - Microsoft.Uev.SyncController.exe

      - TsWpfWrp.exe

      - UevAgentPolicyGenerator.exe

      - UevAppMonitor.exe

      - FileHistory.exe

      - UevTemplateBaselineGenerator.exe

      - UevTemplateConfigItemGenerator.exe

在默认情况下加载CLR并将其设置为spawnto(避免使用已知的LOLBins)。

工具使用样例

ExecuteAssembly --dotnetassembly /tmp/Seatbelt.exe --assemblyargs LogonSessions --unlink-modules --stomp-headers --amsi --etw --spawnto PresentationHost.exe
ExecuteAssembly --amsi --etw --unlink-modules --stomp-headers --dotnetassembly /tmp/ghostpack/SharPersist.exe --assemblyargs -t reg -c "C:\Windows\SysWow64\mshta.exe C:\Users\admin\Downloads\Test2.hta" -k logonscript -m add --spawnto FileHistory.exe
ExecuteAssembly --unlink-modules --stomp-headers --dotnetassembly /tmp/ghostpack/SharPersist.exe --assemblyargs -t reg -k "logonscript" -v "C:\Windows\SysWow64\mshta.exe C:\Users\admin\Downloads\Test.hta" -m remove --spawnto FileHistory.exe
ExecuteAssembly --unlink-modules --amsi --dotnetassembly /tmp/ghostpack/SharpWMI.exe --assemblyargs action=query computername=localhost query="select * from win32_service" --spawnto FileHistory.exe
ExecuteAssembly --amsi --etw --dotnetassembly /tmp/ghostpack/SharpWMI.exe --assemblyargs action=query query="select * from win32_process" --spawnto PresentationHost.exe

C2支持

该功能主要用于支持和测试Cobalt Strike,但是它也可以跟其他C2框架(比如MSF等)配合一起使用。但是别忘了反射DLL DLLMAIN需要以单独一行Payload作为参数,格式如下:

AMSI_FLAG|ETW_FLAG|STOMPHEADERS_FLAG|UNLINKMODULES_FLAG|LL_FLAG.LENGTH_FLAG.B64_ENCODED_COMPRESSED_PAYLOAD [SPACE SEPARATED ARGUMENTS]

AMSI_FLAG: 0或1;

ETW_FLAG: 0或1;

STOMPHEADERS_FLAG: 0或1;

UNLINKMODULES_FLAG: 0或1;

LENGTH_FLAG: .NET程序集字节大小;

LL_FLAG: LENGTH_FLAG的长度;

B64_ENCODED_COMPRESSED_PAYLOAD: Gzip压缩和Base64编码的.NET程序集;

[SPACE SEPARATED ARGUMENTS]: .NET程序集参数;

感谢各位的阅读,以上就是“怎么使用ExecuteAssembly实现.NET程序加载和注入”的内容了,经过本文的学习后,相信大家对怎么使用ExecuteAssembly实现.NET程序加载和注入这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!

推荐阅读:
  1. .NET概念:.NET程序编译和运行
  2. 小程序怎么使用分包加载

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:如何理解Java接口和抽象类原理

下一篇:如何深入理解C语言指针

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》