.NET内网实战:通过动态编译混淆代码执行Shellcode

已于 2024-12-25 11:26:57 修改
阅读量510 收藏 6
点赞数 10
CC 4.0 BY-SA版权
文章标签: .net 安全 web安全
于 2024-11-30 08:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ahhacker86/article/details/144021303

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。

02基本介绍

本文内容部分节选自小报童《.NET 通过隐藏任务计划实现权限持久化》,现在限时只需59元,永久买断!目前已有240+位朋友抢先预定,我们会长期更新!

03原理分析

在红队行动中,常常需要规避各种防御机制以成功启动木马进程。今天,我们将深入探讨一种相对冷门但非常有趣的技术:通过 .NET 动态编译结合代码混淆,实现对 shellcode 的隐秘执行。

3.1 VirtualAlloc函数

VirtualAlloc 是 Windows API 中用于内存分配的函数,常用于分配和保护进程的虚拟内存空间。在.NET中可以通过 P/Invoke 调用的非托管函数,具体代码如下所示。

[DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
private static extern UInt32 VirtualAlloc(
    UInt32 lpStartAddr,        // 内存的起始地址
    UInt32 size,               // 要分配的内存大小(以字节为单位)
    UInt32 flAllocationType,   // 分配类型(如 MEM_COMMIT 或 MEM_RESERVE)
    UInt32 flProtect           // 内存保护属性(如 PAGE_EXECUTE_READWRITE)
);

因此,在.NET里通过[DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)] 特性声明 Windows API。DllImport 提供了SetLastError 、ExactSpelling 两个选项,当 SetLastError 设置为 true时, 表示是否返回 GetLastError 的错误代码。

3.2 CreateThread函数

CreateThread 也是 Windows API 提供的函数,用于在目标进程中创建一个新的线程。通常在.NET里调用的方式如下所示。

[DllImport("kernel32.dll", SetLastError = true)]
private static extern IntPtr CreateThread(
    UInt32 lpThreadAttributes,  // 线程的安全属性
    UInt32 dwStackSize,         // 线程的初始堆栈大小
    UInt32 lpStartAddress,      // 线程的起始地址(函数指针)
    IntPtr param,               // 传递给线程的参数
    UInt32 dwCreationFlags,     // 创建标志
    ref UInt32 lpThreadId       // 接收线程 ID
);

通常与动态内存分配和 shellcode 执行结合使用,尤其是在渗透测试或恶意代码中,用于将 shellcode 注入到目标进程并执行。

3.3 动态编译技术

安全对抗阶段,有时我们需要在运行时动态编译代码并执行,.NET平台提供的CSharpCodeProvider 是一个编译服务的类,用于与底层的编译器交互,可以动态创建、编辑和编译代码。

public static object function1(string code, string namespacename, string classname, string functionname, bool isstatic, params object[] args)
{
    object returnval = null;
    Assembly asm = BuildAssembly(code);
    object instance = null;
    Type type = null;
    if (isstatic)
    {
        type = asm.GetType(namespacename + "." + classname);
    }
    else
    {
        instance = asm.CreateInstance(namespacename + "." + classname);
        type = instance.GetType();
    }
    MethodInfo method = type.GetMethod(functionname);
    returnval = method.Invoke(instance, args);
    return returnval;
}

上述代码中,通过 Type.GetMethod() 获取指定的方法信息,然后使用 MethodInfo.Invoke() 调用方法,不过做了一次判断,对于静态方法,调用时不需要实例,对于实例方法,需传入已创建的对象实例。

通过调用function1(code, "Namespace", "Program", "run", false, null); 实现动态编译执行,此处的 "run" 便是需要调用的方法名称,"Program" 是类的名称。运行后成功启动本地计算器进程,如下图所示

图片

综上所述,通过动态编译.NET代码实现线程注入的思路,其主要功能是接收经过 Base64 编码的 shellcode 字符串,并将其注入到本地线程中,从而执行恶意代码。想要了解完整或者更多的内网安全方向的文章,可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

 04.NET 电子报刊

电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。

1) .NET 安全防御绕过
2) .NET 本地权限提升
3) .NET 内网信息收集
4) .NET 内网代理通道
5) .NET 内网横向移动
6) .NET 目标权限维持
7) .NET 数据传输外发
8) .NET 目标痕迹清理

我们会长期更新,初步计划保持每周更新1-2篇新内容!

图片

想要了解完整或者更多的内网安全方向的文章,可以移步订阅小报童《.NET 内网实战攻防》电子报刊,报刊地址:https://xiaobot.net/p/dotNetAttack

.NET 通过傀儡进程执行Shellcode
ahhacker86的专栏
04-10 456
首先通过调用CreateProcess函数来创建一个新的进程,并特别设置了该进程的启动标志为CREATE_SUSPENDED,这样在创建后会立即处于挂起状态,主线程不会立即执行任何代码,而是等待后续的指令来恢复其执行。综上,傀儡进程是通过篡改某进程的内存数据来实现的,具体做法是在内存中写入Shellcode,并操纵进程的执行流程,使其转而执行恶意的Shellcode。傀儡进程是指被攻击者通过技术手段,修改其内存数据,并植入恶意的Shellcode,进而控制其执行流程,使其转向执行恶意代码的进程。
go混淆实现bypassAV(cobaltstrike免杀)
qq_32445755的博客
02-09 1116
近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
.NET版“ShellCode”编写
K8哥哥
01-11 931
0x000 前言 近几年大家都喜欢用CS来进行后渗透,所以对于ShellCode大家应该不会陌生。 但是可能很多人并不懂CS它的功能是什么,CS生成的ShellCode是一段下载者。 主要功能为下载becon.dll,然后内存加载,我们所用的相关功能都在becon里。 ShellCode可能采用汇编或VC编写后转成机器码提取关键机器码,优势在于体积小 体积小就可以直接结合漏洞使用,什么Word文档...
.NET中的代码动态编译执行
castlooo的专栏
07-12 866
 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using System.Reflection; using System.CodeDom.Compiler; using
基于.NET动态编译技术实现任意代码执行
biyusr的专栏
07-15 372
当下主流的Waf或WindowsDefender等终端杀软、EDR大多都是从特征码查杀,在.Net和VBS下一句话木马中最常见的特征是eval,对于攻击者来说需要避开这个系统关键字,可从反序列化方式避开eval,但公开已久相信很多安全产品已经能够很好检测和阻断这类攻击请求。,而在.NET中eval只存在于Jscript.Net,所以需要将动态编译器指定为Jscript,其余和C#版本的动态编译基本一致,笔者通过插入无关字符将eval拆解掉,代码如下。...
探秘SharpAlternativeShellcodeExec:一个安全、高效的.NET Shellcode执行框架
gitblog_00013的博客
04-06 780
探秘SharpAlternativeShellcodeExec:一个安全、高效的.NET Shellcode执行框架 去发现同类优质开源项目:https://gitcode.com/ 在软件安全测试和逆向工程领域,Shellcode是一种常见的技术手段,用于在目标进程中注入并执行自定义代码。然而,传统的Shellcode编写通常涉及低级语言如汇编,对开发者的技术要求较高。现在,让我们一起深入了解,...
[小技巧]C# .net 动态编程 (1)
iml6yu的博客
08-22 574
文章目录动态编程第一个小目标知识点源代码显示结果待处理坑1总结 动态编程 最初想法:类似js那样动态的加载一段源代码可以直接对其操作。 js属于解释型语言,所以动态对于他来说属于先天具有,可以说是固有属性。 c# 属于编译型语言,所有对象理论都应该是提前编译好,才能运行的。 但是.net 已经考虑好了这一点,所以从根本上是支持动态编程的。 第一个小目标 根据源代码,动态编译并且能够设置和取到对应的属性值 知识点 反射 (基本使用到的两个类 Activator或者 Assembly。 有兴趣的网上搜资料)
〖免杀〗.net程序一键免杀Win10 20H2 Defender
K8哥哥
12-18 1828
WIN10更新至最新版20H2发现,查杀能力比以前强了不少,特别是针对CS加载.NET程序集或NIM加载.NET的查杀,毕竟你要调用的函数微软很了解,它想拦截想杀还是比较容易的。但是不知道大家有没听说过一个故事“微软的编程工具的开发工程师,编写程序时,也需要查阅文档”,说明什么?微软系统的API很多,是微软写的没错,但又不是一个人自己写的,就算是一个人自己写的,功能那么多,他也根本记不起,用到自己的东西也要查阅文档,就像我用Ladon有时也要查阅文档,这很正常,因为我写过的工具或功能太多,有些久不用,甚至都
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8583
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
GoPass系列免杀基础(一)_go语言免杀
2401_89820465的博客
01-11 421
Shellcode 是可执行的 16 进制机器码,需要执行的话它就需要用到 Shellcode 加载器。Shellcode 加载器的主要功能:开辟内存空间–将 Shellcode 放入内存空间–指针指向 Shellcode 地址执行。以 Goby 的 GoPassPython 插件来说:这个是用 Python 语言作为 Shellcode 的加载器执行 Shellcode 的,它的步骤:开辟空间–写入内存空间–然后执行。可以尝试放入自己的 Shellcode 执行一下。
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
【Dotnet 工具箱】JIEJIE.NET - 强大的 .NET 代码混淆工具
Gefangenes的博客
05-16 1720
Dots 是一个用于管理 .NET SDK 的 GUI 工具,它使用 .NET MAUI 开发的,可用于 Windows 和 macOS(对不住了,Linux 用户)。
深入.NET混淆技术:保护.NET Framework和.NET Core应用
weixin_42502089的博客
11-08 1464
本文还有配套的精品资源,点击获取 简介:.NET混淆技术是保护.NET应用程序免受未经授权访问的有效手段。本文将详细探讨.NET混淆技术在.NET Framework和.NET Core平台中的应用,涵盖动态名、反射和序列化等特殊考虑领域。使用.NET Reactor等混淆工具,开发者可以利用其提供的命令行界面、Visual Studio插件和核心组件,轻松地对代码进行混淆...
三款.NET代码混淆工具比较分析:ConfuserEx、Obfuscar和Ipa Guard
gfdjhg的博客
03-20 1562
通过对ConfuserEx、Obfuscar和JIEJIE.NET.NET代码混淆工具的介绍和比较分析,我们可以看到它们都在保护.NET应用程序的知识产权和防止逆向工程方面发挥着重要作用。开发者可以根据自身需求和项目特点选择合适的混淆工具,从而有效保护代码安全
.Net 程序代码混淆加密工具 ILProtector
niuniu_jjgs的博客
02-02 1318
.Net混淆工具ILProtector​
.net 混淆工具
诸葛建站
05-29 1359
obfuscation tools .net 社区有很多混淆工具, 比如这个清单: https://github.com/NotPrab/.NET-Obfuscator 比较有名的商业工具有 .NET REACTOR https://www.eziriz.com/, 开源软件中, 最受欢迎的有: obfuscar https://github.com/obfuscar/obfuscar 老版 ...
探究 .NET代码混淆/加壳
weixin_68436326的博客
11-21 828
前言先查询一下常见的加壳工具:DotFuscator,官方自带,据说免费版混淆程度不高Virbox Protector,很好很优秀,但是收费NET Reactor,可能会被识别为病毒Obfuscar,开源,可以用dotnettool或项目构建的方式进行使用那就先用Obfuscar试试水。正文方式一:nuget安装推荐,这种方式可以针对性下载各.net版本对应工具包1、在项目中使用nuget安装o...
.NET代码混淆终极实战指南
最新发布
墨夶的博客
05-26 507
本文介绍了JIEJIE.NET的核心架构及其企业级混淆配置方案。首先,IL代码分析引擎通过提取控制流图、识别敏感结构、构建混淆策略和执行代码重构来实现IL指令级分析,支持.NET Framework 2.0+及.NET Core 3.1+。其次,企业级混淆配置文件详细说明了多策略混淆方案,包括全量符号重命名、AES-256字符串加密、控制流混淆和资源文件加密等功能,确保代码的安全性。最后,字符串加密模块采用AES算法,支持CBC模式和PKCS7填充,进一步保护敏感数据。整体方案旨在通过多层次混淆和加密手段,
Juiced v1.8:PowerShell.NET内存执行shellcode工具解析
Shellcode是渗透测试和安全研究中常用的一种攻击向量,它可以被用来在目标系统上执行任意代码。 6. 支持的有效载荷格式:本工具支持多种有效载荷格式,包括宏,jar,vbs,js,ps,war,as等。这些格式可以满足不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dot.Net安全矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值