Execute-Assembly(1)

最新推荐文章于 2024-04-12 11:30:00 发布
最新推荐文章于 2024-04-12 11:30:00 发布
阅读量274 收藏 2
点赞数 2
文章标签: 算法 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/137558621
版权

 原理

        在《Cobalt Strike 原理分析》一文中,介绍了内存加载程序集(Assembly)的主要有四步:

1 加载CLR环境 2 获取程序域 3 装载程序集 4 执行程序集

        在odzhan的Shellcode: Loading .NET Assemblies From Memory所描述的那样,.Net Framework随着版本的更新,使用了不同的接口,.Net Framework V1.0 采用的是ICorRuntimeHost接口,支持v1.0.3705, v1.1.4322, v2.0.50727和v4.0.30319。到了.Net Framework v2.0,采用ICLRRuntimeHost接口,支持v2.0.50727和v4.0.30319。然后到了.Net Framework v4.0,则使用了ICLRMetaHost接口,但是可能不再兼容4.0以下的.Net Framework。所以使用ICLRMetaHost接口并不是一个非常合适的接口。

        我们可以使用多个函数进行接口的实例化,最常见的可能属CoCreateInstance或者CLRCreateInstance

剩下的关于获取程序域,装载程序集,以及执行程序集在Execute-Assembly实现都有具体实现。完整代码如下。

#include <stdio.h>
#include <tchar.h>
#include <metahost.h>
//
#import "mscorlib.tlb" raw_interfaces_only   \
     high_property_prefixes("_get","_put","_putref")  \
     rename("ReportEvent", "InteropServices_ReportEvent") \
 rename("or", "InteropServices_or")

using namespace mscorlib;
//
#pragma comment(lib, "MSCorEE.lib")
//
int _tmain(int argc, _TCHAR* argv[])
{
 HANDLE hFile = CreateFileA("CSharp.exe",
  GENERIC_READ | GENERIC_WRITE,
  FILE_SHARE_READ,
  NULL,
  OPEN_EXISTING,
  FILE_ATTRIBUTE_NORMAL,
  NULL);
 if (NULL == hFile)
 {
  return 0;
 }
 DWORD dwFileSize = GetFileSize(hFile, NULL);
 if (dwFileSize == 0)
 {
  return 0;
 }
 PVOID dotnetRaw = malloc(dwFileSize);
 memset(dotnetRaw, 0, dwFileSize);
 DWORD dwReturn = 0;
 if (ReadFile(hFile, dotnetRaw, dwFileSize, &dwReturn, NULL)==FALSE)
 {
  return 0;
 }
//
 ICLRMetaHost* iMetaHost = NULL;
 ICLRRuntimeInfo* iRuntimeInfo = NULL;
 ICorRuntimeHost* iRuntimeHost = NULL;
 IUnknownPtr pAppDomain = NULL;
 _AppDomainPtr pDefaultAppDomain = NULL;
 _AssemblyPtr pAssembly = NULL;
 _MethodInfoPtr pMethodInfo = NULL;
 SAFEARRAYBOUND saBound[1];
 void* pData = NULL;
 VARIANT vRet;
 VARIANT vObj;
 VARIANT vPsa;
 SAFEARRAY* args = NULL;
//
 //检测点1
 CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (VOID**)&iMetaHost);
 iMetaHost->GetRuntime(L"v4.0.30319", IID_ICLRRuntimeInfo, (VOID**)&iRuntimeInfo);
 iRuntimeInfo->GetInterface(CLSID_CorRuntimeHost, IID_ICorRuntimeHost, (VOID**)&iRuntimeHost);
 iRuntimeHost->Start();
//
 iRuntimeHost->GetDefaultDomain(&pAppDomain);
 pAppDomain->QueryInterface(__uuidof(_AppDomain), (VOID**)&pDefaultAppDomain);
//
 saBound[0].cElements = dwFileSize;
 saBound[0].lLbound = 0;
 SAFEARRAY* pSafeArray = SafeArrayCreate(VT_UI1, 1, saBound);
//
 SafeArrayAccessData(pSafeArray, &pData);
 memcpy(pData, dotnetRaw, dwFileSize);
 //free(dotnetRaw);   //释放1
 SafeArrayUnaccessData(pSafeArray);
//
 //检测点2
 pDefaultAppDomain->Load_3(pSafeArray, &pAssembly);
 //free(pSafeArray->pvData);
 pAssembly->get_EntryPoint(&pMethodInfo);

 ZeroMemory(&vRet, sizeof(VARIANT));
 ZeroMemory(&vObj, sizeof(VARIANT));
 vObj.vt = VT_NULL;

 vPsa.vt = (VT_ARRAY | VT_BSTR);
 args = SafeArrayCreateVector(VT_VARIANT, 0, 1);

 if (argc > 1)
 {
  vPsa.parray = SafeArrayCreateVector(VT_BSTR, 0, argc);
  for (long i = 0; i < argc; i++)
  {
   SafeArrayPutElement(vPsa.parray, &i, SysAllocString((OLECHAR*)argv[i]));
  }

  long idx[1] = { 0 };
  SafeArrayPutElement(args, idx, &vPsa);
 }

 //检测点3
 HRESULT hr = pMethodInfo->Invoke_3(vObj, args, &vRet);
 pMethodInfo->Release();
 pAssembly->Release();
 pDefaultAppDomain->Release();
 iRuntimeInfo->Release();
 iMetaHost->Release();
 CoUninitialize();
 getchar();
 return 0;
};

网安星星
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【CS学习笔记】10、如何管理Payload载荷
TeamsSix 的 CSDN 空间
06-27 983
0x00 前言 到目前为止,已经学过了如何在有漏洞的目标上获取立足点的方法,接下来将继续学习后渗透相关的知识,这一节就来学习学习 beacon 的管理、会话传递等。 0x01 Beacon 的管理 Beacon 控制台 在一个 Beacon 会话上右击 interact(交互)即可打开 Beacon 控制台,如果想对多个会话进行控制,也只需选中多个会话,执行相关功能即可。 在 Beacon 的控制台中的输入与输出之间,是一个状态栏,状态栏上的信息分别是:目标 NetBIOS 名称、用户名、会话PID以及
.net core 调用c dll_从内存加载.NET程序集(Assembly.Load)的利用分析
weixin_39954908的博客
11-23 1409
0x00 前言在之前的文章《从内存加载.NET程序集(execute-assembly)的利用分析》介绍了"execute-assembly"的实现方法和利用思路,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽。与此相似的方法还有一个是Assembly.Load,同样能够从内存中加载.NET程序集。本文将会结合三个开源工程,介绍Assembly.Load的实现方...
Execute-Assembly(3)
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-12 348
绕过前面检测的最简单的思路就是Patch ETW。而我想的是使用BOF进行Bypass ETW 以及Assembly加载。BOF主要需要实现两个点,第一实现ByPass ETW,第二需要实现Assembly加载。在官方的文档Beacon Object Files中,详细描写了怎么使用CNA和BOF。参数$1表示的是当前会话的ID。Alias的参数有3个。表示会话ID,第二个参数是传入参数的类型,参数类型如下。从第三个参数就是传入的参数。第三个参数是入口点函数。$0 是我们起的别名和传输的参数。
Execute-Assembly(2)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-11 567
根据之前的Execute-Assembly的实现原理,可以预测到Execute-Assembly主要有3个检测点。第一个检测点是加载CLR环境,第二个检测点是加载程序集,第三个检测点在于执行入口点的地方。在我看来,第一第二个检测点是比较好实现的。
内网渗透神器CobaltStrike之execute-assembly(十三)
xf555er的博客
08-21 843
"execute-assembly"是Cobalt Strike的一项功能,它允许你在Cobalt Strike的Beacon控制的目标机器上直接执行.NET程序集(Assembly)。具体来说,这个功能通过在目标机器的内存中加载.NET程序集并执行它,而不需要将程序集写入到磁盘。这种在内存中执行程序的方法也被称为"文件无(fileless)"攻击,因为它能避免在磁盘上留下可疑的文件,从而绕过某些基于文件扫描的防御手段。
C#程序集Assembly
james_zgw的专栏
08-13 521
一、Assembly 1.创建一个应用程序域application domain AppDomain d = AppDomain.CreateDomain("MyDomain"); Console.WriteLine(AppDomain.CurrentDomain.Frie
ETW的攻与防
hongduilanjun的博客
09-14 2851
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
fakelogonscreen:伪造的Windows登录屏幕可窃取密码
02-06
它可以通过简单地运行.exe文件或使用例如Cobalt Strike的execute-assembly命令来execute-assembly 。 可从“页面获得二进制文件。 FakeLogonScreen.exe:将输出写入控制台,例如与Cobalt Strike兼容 ...
Introduction to 80×86 Assembly Language and Computer Architecture, 3rd Edition
09-11
The text also includes multiple examples of how individual 80×86 instructions execute, as well as complete programs using these instructions. Hands-on exercises reinforce key concepts and problem-...
Assembly Language Succinctly Syncfusion 2013
03-20
Assembly Language This book is an introduction to x64 assembly language This is the language used by almost all modern desktop and laptop computers x64 is a generic term for the newest generation of ...
The Art of Assembly Language Programming
12-20
1 What's Wrong With Assembly Language 2 What's Right With Assembly Language? 3 Organization of This Text and Pedagogical Concerns 4 Obtaining Program Source Listings and Other Materials ...
SharpLAPS:从LDAP检索LAPS密码
03-04
可以使用execute-assembly在Cobalt Strike会话中execute-assembly此可执行文件。 它将从Active Directory中检索LAPS密码。 要求(两者皆有): 具有ExtendedRight或Generic All Rights帐户域管理员权限用法 _____ _...
AppDomain . ExecuteAssembly 和 ExecuteAssemblyByName方法使用
weixin_34220179的博客
10-10 121
AppDomain oDownLoadDoMain = AppDomain.CreateDomain("DownLoadDoMain", null); 利用下面的方法回报错:oDownLoadDoMain.ExecuteAssembly("SmApp.ProgramUpdate.exe");错误信息:“An unhandled exception of type 'System.IO.FileN...
如何卸载microsoft .net framework 4_从内存加载.NET程序集(executeassembly)的利用分析
weixin_39823676的博客
12-03 521
0x00 前言Cobalt Strike 3.11中,加入了一个名为"execute-assembly"的命令,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽,而且现有的Powershell利用脚本能够很容易的转换为C#代码,十分方便。本文将会对"execute-assembly"的原理进行介绍,结合多个开源代码,介绍实现方法,分析利用思路,最后给出防御建议。0x...
列出.NET程序所依赖的Assembly
Donjuan的专栏
02-16 2903
有的时候你可能会碰到.NET程序在发布机上不能启动的问题,.NET程序告诉你有的Assembly不能加载,你想看看.NET程序到底依赖于哪些Assembly的话,可以试一下下面的程序(注意:你只能在可以执行这个.NET程序的机器上运行下面的程序):1. using System;2. using System.Collections.Generic;3. using S
未能加载文件或程序集microsoft.directx_Cobalt Strike无落地文件执行任意程序
weixin_39629093的博客
12-17 1023
from:https://iwantmore.pizza/posts/PEzor2.htmlCobalt Strike的execute-assembly可以使我们无文件即可运行.NET程序集。但是,如果我们能够同样轻松的执行任意可执行文件,那会不会很好呢?PEzor v2新的输出形式与Cobalt Strike集成。execute-assembly使攻击者无落地文件运行.NET程序集深深...
Failed to execute goal org.apache.maven.plugins:maven-assembly-plugin:2.2-beta-5:single (default-cli) on project rcs: Error reading assemblies: No assembly descriptors found.
06-13
这个错误提示表明 Maven 没有找到任何装配描述符。在使用 maven-assembly-plugin 时,必须在项目的 pom.xml 文件中配置相应的描述符,才能生成期望的装配包。如果您没有提供描述符,那么您需要提供一个默认的描述符。 您可以通过在 pom.xml 文件中添加以下配置来提供一个默认的描述符: ```xml <build> <plugins> <plugin> <artifactId>maven-assembly-plugin</artifactId> <version>2.2-beta-5</version> <configuration> <descriptorRefs> <descriptorRef>jar-with-dependencies</descriptorRef> </descriptorRefs> <archive> <manifest> <mainClass>com.example.MainClass</mainClass> </manifest> </archive> </configuration> <executions> <execution> <id>make-assembly</id> <phase>package</phase> <goals> <goal>single</goal> </goals> </execution> </executions> </plugin> </plugins> </build> ``` 在这个示例中,我们指定了 `jar-with-dependencies` 描述符,它将生成一个包含所有依赖项的可执行 JAR 文件。请注意,这里还指定了一个 `mainClass`,用于指定可执行 JAR 的入口类。 如果您想使用自定义的描述符,您需要在 `<configuration>` 标签中指定 `descriptor` 元素,例如: ```xml <configuration> <descriptors> <descriptor>assembly.xml</descriptor> </descriptors> </configuration> ``` 在这个示例中,我们使用 `assembly.xml` 作为描述符文件的名称。请确保该文件位于项目的根目录或相对路径下,并包含正确的装配信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值