GhostBuild:一款强大的GhostPack工具启动器
项目介绍
GhostBuild 是一个概念验证(POC)集合,包含了一系列用于启动各种 GhostPack 项目的简单 MSBuild 启动器。GhostPack 是由安全研究员 @harmj0y 开发的工具集,而 GhostBuild 则进一步扩展了其功能,添加了其他 .Net 项目的支持。GhostBuild 遵循 BSD 3-Clause 许可证,确保了其开源性和自由使用的特性。
项目技术分析
GhostBuild 的核心技术在于利用 MSBuild 这一微软官方的构建工具来执行 GhostPack 工具。MSBuild 是 .NET 框架的一部分,通常用于编译和构建 .NET 项目。GhostBuild 通过自定义 MSBuild 项目文件,将 GhostPack 工具的编译版本压缩、编码并嵌入到 MSBuild 项目中,从而实现通过 MSBuild 执行这些工具。
具体步骤如下:
- 编译 GhostPack 项目:使用所需的 .NET Framework 版本编译目标 GhostPack 项目。
- 压缩 .NET 程序集:使用 Out-CompressedDll 工具压缩编译后的 .NET 程序集。
- 自定义 MSBuild 项目文件:更新并自定义 GhostBuild 的 XML C# 项目文件,确保程序集路径和参数正确。
- 构建并运行:使用相应版本的 MSBuild.exe 构建并运行项目。
此外,GhostBuild 还提供了一个名为 GhostBuilder.py 的工具,帮助用户在编译程序集后构建 MSBuild 有效载荷。
项目及技术应用场景
GhostBuild 主要应用于以下场景:
- 安全评估与渗透测试:GhostBuild 可以帮助安全专业人员在合法和道德的范围内进行安全评估和渗透测试。通过 MSBuild 执行 GhostPack 工具,可以有效地绕过某些安全控制机制,从而发现系统中的潜在漏洞。
- 应用控制与EDR绕过:MSBuild 是一个签名的二进制文件,可以用于执行未签名的代码,从而绕过应用程序控制和端点检测与响应(EDR)系统。GhostBuild 利用这一特性,为安全研究人员提供了一种绕过防御机制的手段。
项目特点
- 开源与自由:GhostBuild 遵循 BSD 3-Clause 许可证,确保了其开源性和自由使用的特性。
- 强大的工具集成:GhostBuild 集成了 GhostPack 和其他 .Net 项目,为用户提供了丰富的工具选择。
- 灵活的自定义:用户可以根据需要自定义 MSBuild 项目文件,灵活调整工具的执行参数和路径。
- 防御性考虑:GhostBuild 强调了防御性考虑,建议在不需要 MSBuild.exe 的情况下禁用它,并在需要时监控其执行事件。
结语
GhostBuild 是一款强大的工具启动器,特别适合安全研究人员和渗透测试人员使用。通过 GhostBuild,用户可以更方便地执行 GhostPack 工具,发现系统中的潜在安全问题。如果你是一名安全专业人员,GhostBuild 绝对是你工具箱中不可或缺的一部分。
立即访问 GhostBuild 项目主页,开始你的安全评估之旅吧!