.NET 一款基于BGInfo的红队内网渗透工具

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他方面

02基本介绍

在内网渗透过程中，白名单绕过是红队常见的技术需求。Sharp4Bginfo.exe 是一款基于微软签名工具 BGInfo 的红队工具，它充分利用了 BGInfo 的微软签名特性，通过加载恶意代码实现了对安全防护的绕过。本文将详细介绍该工具的功能、原理及使用方法。

03使用方法

Sharp4Bginfo 利用微软签名工具，降低被检测的可能性，无需参数运行，具体命令如下所示。

Sharp4Bginfo.exe

在运行时以 BGInfo 的身份启动一个新的 cmd.exe 进程，从而提供交互式的命令行环境。通过此交互窗口，用户可以自由执行命令或运行其他恶意脚本，如下图所示。

执行完成后，控制台会输出以下信息：dotNetMatrix: Execute Over! 并且，运行完成后，工具会自动清理释放的文件及运行痕迹，避免被发现。综上，在红队渗透活动中，通过此工具可以实现绕过安全软件的目的，并快速获取目标系统的交互式控制。

04.NET安全星球

d