.NET 一款通过白名单程序执行命令的工具

最新推荐文章于 2024-08-26 17:30:48 发布
最新推荐文章于 2024-08-26 17:30:48 发布
阅读量439 收藏 16
点赞数 11
文章标签: 安全 web安全 矩阵 .net windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/141551355
版权

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4Launcher.exe 是一款Windows下的执行命令的工具,利用白名单机制启动任意的二进制文件,具有微软签名,能够绕过大多数杀毒软件和安全防护机制,从而在目标系统上执行恶意操作或测试代码。这篇文章将详细介绍该工具的功能、原理及其使用方法。

03使用方法

具体来说,利用微软签名的合法程序启动潜在的恶意代码或需要隐藏的程序。工具提供了参数支持,允许用户指定启动的程序路径以及相应的参数。

.\Sharp4Launcher.exe -p "c:\windows\system32\cmd.exe" -a "/c winver"

该工具的参数-p和-a分别表示需要启动的程序路径和启动程序时指定的参数。

04原理解析

Sharp4Launcher.exe 的核心原理是在系统内创建一个新进程,并将其标准输入、输出和错误输出重定向到指定的管道。工具首先处理用户输入的命令行参数,使用StringBuilder构建命令行字符串,以准备调用系统API创建进程。

stringBuilder.Append(Program.QuoteString(programToRun));
if (programArguments != null)
{
    stringBuilder.Append(' ');
    stringBuilder.Append(programArguments);
}

为了重定向新进程的标准输入、输出和错误输出,工具调用CreatePipe方法创建匿名管道。

if (!NativeMethods.CreatePipe(out stdReadHandle, out hStdError, lpPipeAttributes, 0) ||
    !NativeMethods.CreatePipe(out stdReadHandle2, out hStdOutput, lpPipeAttributes, 0) ||
    !NativeMethods.CreatePipe(out Program._stdInRead, out Program._stdInWrite, lpPipeAttributes, 0))
{
    throw new Win32Exception();
}

最后,通过调用NativeMethods.CreateProcess API创建新进程,并使用之前配置的重定向句柄。这一步是整个工具的核心,确保新进程能够在当前环境中运行,同时具备标准输入输出的重定向功能。

if (!NativeMethods.CreateProcess(null, stringBuilder, IntPtr.Zero, IntPtr.Zero, true, createflags, environment, Program._arguments.WorkingDir, startupinfo, process_INFORMATION))
{
    throw new Win32Exception();
}

综上,渗透测试人员可以利用Sharp4Launcher绕过安全软件的监控,适用于各种需要规避安全软件的场景。

05推荐阅读

从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!

图片

图片

图片

图片

图片

图片

图片

06欢迎加入.NET安全星球

为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 星球门票后期价格随着内容和质量的不断沉淀会适当提高,因此越早加入越好! 

    目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

图片

图片

图片

星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

    我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

图片

我们还有一个会员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。

为了助力大家在2024国家级hvv演练中脱颖而出,我们特别整理出了一套涵盖dotNet安全矩阵星球的八大.NET相关方向工具集。

.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输

这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。

图片

dot.Net安全矩阵
关注
  • 11
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
监控白名单WMIC执行payload行为
12306小哥
04-26 682
来自ATT&CK的描述 WMI(Windows Management Instrumentation)是Windows管理功能,它为本地和远程访问windows系统组件提供了统一的环境。它依赖WMI服务来进行本地和远程访问,以及SMB(服务器消息块)和RPCS(远程过程调用服务)来进行远程访问。RPCS通过端口135运行。 攻击者可能会使用WMI与本地和远程系统交互,也可能使用WMI来将执...
监控白名单Installutil.exe执行payload行为
12306小哥
04-13 640
简介 命令行实用程序InstallUtil可用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源。 InstallUtil位于Windows系统上的.NET目录中: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe ...
.NET 一款Web版本远程下载马子的工具
ahhacker86的专栏
08-13 838
在渗透测试和红队活动中,绕过目标主机的安全防御机制是一个关键环节。Sharp4DownLoader 是一款专为此目的设计的工具。通过调用 .NET 原生类实现文件下载,不依赖于系统白名单程序,如 cmd.exe 或其他常见的 Windows 系统工具,从而有效规避反病毒软件的监视。
.NET 分享两个白名单程序加载shellcode
zls365365的博客
11-13 92
0x01RegSvcsRegsvcs.exe 是一个Windows命令行程序,位于C:\Windows\Microsoft.NET\Framework\v4.0.30319\ 目录下,通常用于将.NET程序集注册到COM+中,便于将来在COM+事务处理中被调用密钥因为.NET 强名称程序集需要通过一个密钥文件才能生成,因此首先需要使用PowerShell创建一个密钥文件key.snk,具体内容如...
GreatSct -应用程序白名单bypass工具
渗透测试研究中心
03-08 93
0x00 GreatSCT简介 GreatSCT目前得到了@ConsciousHacker的支持,该项目名为Great SCT(Great Scott)。Great SCT是一个用于生成应用程序白名单绕过的开源项目。此工具适用于红队和蓝队。它是一种用来生成Metasploit payload的工具,可绕过常见的防病毒解决方案和应用程序白名单解决方案。 您可以从这里下载:https://githu...
绕过应用程序白名单技巧
Fly_鹏程万里
06-04 3988
在内网渗透中,经常会在内网主机执行执行的渗透工具的时候出现执行不起来的情况,很多时候是由与安全软件做了白名单限制,只允许指定的白名单中的应用程序启动,这时我们就需要利用白名单中的程序做我们想做的事情,执行我们想要执行的程序,下面就给大家分享几个绕过白名单执行应用程序的姿势。一、通过 csharp 编译文件绕过防病毒软件1、下载 CSharp 文件 wget http://tinyurl.com/I...
web渗透测试----9、命令执行漏洞
七天
01-18 1771
文章目录一、简介二、举例说明三、PHP命令执行实例一:命令执行实例二:代码执行实例三:动态函数调用实例四:PHP函数代码执行漏洞四、Java命令执行五、常见注入方式六、常见无回显的利用方式6.1、使用时间延迟检测无回显命令注入6.2、通过重定向输出来进行无回显命令注入6.3、利用带外通道技术(OOB)6.4、bash反弹shell七、防御附件:一些常见语言的危险函数 一、简介 命令注入漏洞通常是通过注入恶意的命令参数,拼接原本正常的命令语句,达到执行恶意命令目的的一类漏洞。 系统命令是可以连接执行的,在没
Linux 限制IP访问与白名单
红叶谷 wsp_1138886114的博客
05-25 3090
添加白名单 执行:add_iptable.sh 脚本: echo "============ 请使用超级权限/sudo 执行 ==============" sudo yum -y install iptables iptables-services touch /etc/sysconfig/iptables cat >> /etc/sysconfig/iptables <<"EOF" *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0]
工具解析篇:高效利用JS加载.Net程序
weixin_33696106的博客
09-12 562
本文讲的是工具解析篇:高效利用JS加载.Net程序, 0x00 前言 最近James Forshaw开源了一个工具DotNetToJScript,能够利用JS/Vbs脚本加载.Net程序,很有趣。 Casey Smith和Cn33liz都对此做了进一步研究,开源了他们的利用代码。 本文将要对该技术作系统整理,帮助大家更好的认识。 0x01 简介 本...
第七十二课:基于白名单Installutil.exe执行payload第二季1
08-03
综上所述,“基于白名单Installutil.exe执行payload”的技术是一种高级渗透测试技巧,通过对.NET环境下的工具和编程语言的深入了解,攻击者可以巧妙地绕过目标系统的安全防护,实现隐蔽的攻击行为。然而,这种技术也...
第七十七课:基于白名单Csc.exe执行payload第七季1
08-03
此时,攻击者可以通过生成带有恶意payload的C#源代码文件,并利用Csc.exe将其编译成合法的.NET程序,从而绕过白名单安全限制。 - **攻击机配置**:使用Metasploit框架生成特定payload,如`windows/x64/shell/...
第七十三课:基于白名单Regasm.exe执行payload第三季1
08-03
为了执行payload,通常需要创建一个特殊构造的.NET程序集,该程序集包含恶意代码,并通过`Regasm.exe`进行注册。 #### 实现步骤 1. **创建.NET程序集**:编写并编译一个包含恶意payload的.NET程序集。例如,提供的...
基于asp.net动态网站前台程序安全性设计的研究.docx
07-02
* 使用白名单机制来限制输入的内容。 * 使用 Content Security Policy 来限制输入的内容。 本文提出了基于 ASP.NET 动态网站前台程序设计中的 SQL 注入漏洞和 XSS 攻击漏洞的防御方法和措施,可以为开发者提供有...
第七十二课:基于白名单Installutil.exe执行payload第二季.docx
09-15
8. **安全防御**:为了防止此类攻击,应确保白名单策略的完整性,及时更新系统和应用程序,限制不必要的工具访问权限,使用入侵检测系统(IDS)和入侵防御系统(IPS)监控网络活动,以及定期进行安全审计和漏洞扫描...
如何使用双重IP代理实现更安全的网络访问
最新发布
IPIPGO的博客
08-26 377
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
网络安全教程初级简介
网络研究观
08-26 402
网络安全包括一系列技术、流程和实践,用于保护网络、设备、应用程序和数据免受攻击、盗窃或损坏等威胁。
等保测评中的安全测试方法
w13359990065的博客
08-26 469
通过物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评等多层次的综合评估,可以有效识别系统中的安全隐患,提升信息系统的整体安全防护能力,满足国家相关法律法规的要求,助力企业提升行业竞争力。在等保测评中,安全测试方法的有效实施离不开专业的测评团队和科学的测评流程。测评团队需具备丰富的安全测试经验和专业知识,能够准确识别系统中的安全风险并提出切实可行的整改建议。首先,等保测评中的安全测试方法涵盖了多个层面,包括但不限于物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评。
【宝马中国-注册/登录安全分析报告】
08-26 910
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
.NET应用程序调试:原理、工具与实践
"深入理解.NET应用程序调试的原理、工具和方法,包括Windows调试工具箱、SOS.DLL和SOSEX.DLL的使用,以及如何有效地分析和解决运行时错误。" 在.NET应用程序开发中,调试是必不可少的一个环节,它帮助开发者定位并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值