.NET 分享一款强大的内网横向移动工具

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4WMI 是一个基于.NET实现的内网横向移动工具,利用WMI进行远程命令执行、文件上传、环境变量操作等。该工具可绕过Windows防护机制ASMI并返回执行结果,适用于高级持久性威胁和红队活动。

图片

03基本用法

Sharp4WMI提供了多种功能,通过命令行参数指定不同的操作。以下是一些常用的命令及其功能介绍。

1. 获取系统反病毒产品

首先,查询root\SecurityCenter2命名空间下的WMI对象,这里查询的是安装的防病毒产品信息。

SharpWMI.exe action=query query="SELECT * FROM AntiVirusProduct" namespace="root\SecurityCenter2"

2. 获取系统用户信息

然后,获取192.168.101.78 计算机上当前登录的用户信息。

SharpWMI.exe action=loggedon computername=192.168.101.78

3. 内网远程执行命令

在内网远程计算机上192.168.101.86执行cmd命令。

SharpWMI.exe action=exec username="ivan1ee" password="123456" computername=192.168.101.86 command="whoami" result=true amsi=disable

图片

Sharp4WMI总共提供10余种横向移动的命令,比如终止目标进程、上传文件、列出主机进程等等。

04实现原理

这里选择性的介绍一下Sharp4WMI在命令执行这块的实现原理,具体由RemoteWMIExecute函数负责,首先创建并连接到远程WMI命名空间。如下代码所示。

ManagementScope scope = new ManagementScope(string.Format("\\\\{0}\\{1}", host, wmiNameSpace), options);

最关键的一处是初始化 ManagementClass 对象,使用 Win32_Process 类创建一个 ManagementClass 对象,代表了可以在WMI中操作的进程类。再通过 GetMethodParameters("Create") 方法获取一个 ManagementBaseObject 对象,该对象包含了 Create 方法所需的所有输入参数。

ManagementClass wmiProcess = new ManagementClass(scope, new ManagementPath("Win32_Process"), new ObjectGetOptions());
ManagementBaseObject inParams = wmiProcess.GetMethodParameters("Create");
inParams["CommandLine"] = command;
ManagementBaseObject outParams = wmiProcess.InvokeMethod("Create", inParams, null);

最后通过 InvokeMethod 方法调用 Create 方法,实际上创建并运行指定的进程。返回的 ManagementBaseObject 包含了调用的结果和新进程的ID。工具已经打包在星球,感兴趣的朋友可以加入自取。

05推荐阅读

从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!

图片

图片

图片

图片

图片

图片

06.NET安全知识库

为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵聚焦于.NET领域的安全攻防技术, 目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。

图片

图片

图片

20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

    我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

图片

我们还有一个会员专属的内部陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。

图片

图片

在进行内网渗透测试时,Cobalt Strike是一个强大工具,而巨龙拉冬插件能够进一步提升其功能,特别是在定制攻击载荷和实现高级内网横向移动方面。要使用巨龙拉冬插件,首先需要确保你已经安装了Cobalt Strike,并且拥有对应的插件文件。以下是具体步骤: 参考资源链接:[CobaltStrike扩展插件指南:五大实用工具解析](https://wenku.csdn.net/doc/7vh56bfsjq) 1. 配置插件文件:将巨龙拉冬插件文件放置在Cobalt Strike的‘beacon’插件目录下,并在Cobalt Strike的界面上启用它。 2. 自定义攻击载荷:打开Cobalt Strike的载荷生成器界面,巨龙拉冬插件会提供额外的配置选项,允许你创建具有特定功能的载荷,例如特定的执行指令、后门功能等。你可以根据目标网络和测试需求,定制载荷的行为和特性。 3. 实现内网横向移动:通过Cobalt Strike的后门(beacon),巨龙拉冬插件能够支持多种横向移动技术。例如,你可以利用插件提供的工具对内部网络进行进一步的侦察和利用。通过载荷与后门之间的通信,可以在内网中悄无声息地进行横向移动,从一个系统跳转到另一个系统。 4. 使用插件命令:巨龙拉冬插件会增加一些特定的命令,这些命令可以用来执行复杂的网络操作,比如在内网环境中传播恶意软件、窃取凭据、执行代理服务等。 请记住,尽管在合法的渗透测试中这些工具有着正当的使用场景,但必须确保你的测试活动得到授权并遵守相关法律法规。通过Cobalt Strike及其插件进行的测试必须在合法授权的环境中进行,以避免触犯法律。 为了进一步深入了解巨龙拉冬插件的具体用法和最佳实践,建议阅读《CobaltStrike扩展插件指南:五大实用工具解析》。这份指南不仅提供了插件的详细使用说明,还包含了实战案例分析,有助于你更好地掌握如何在Cobalt Strike中应用这些扩展工具,以增强你的渗透测试技能。 参考资源链接:[CobaltStrike扩展插件指南:五大实用工具解析](https://wenku.csdn.net/doc/7vh56bfsjq)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dot.Net安全矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值