.NET内网实战：反射实现Rundll32绕过防护

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧。

02基本介绍

本文内容部分节选自小报童《.NET 通过反射技术实现Rundll32功能绕过安全防护》，目前已有280+位朋友抢先预定，我们会长期更新！

03原理分析

在攻防对抗中，攻击者常利用 .NET 提供的反射技术，通过动态加载外部 DLL 并调用其中的任意方法，实现灵活且隐蔽的恶意代码执行。这种技术无需提前绑定目标代码，能够有效规避静态检测，同时模仿类似 rundll32.exe 的行为，进一步提高攻击链的隐匿性。比如通过加载 Sharp4Library.dll 的组件并动态调用其方法，攻击者可以轻松实现任意指令执行，为渗透测试和实际攻击提供强大的支持。

3.1 rundll32

rundll32.exe 是一个位于 Windows 系统 C:\Windows\System32 目录中的可执行文件。主要功能是通过加载C或C++编译的动态链接库中指定的函数来执行某些特定任务。在实际使用中， 以下是 rundll32.exe 基本的用法：

rundll32.exe <DLL路径>,<函数名> [参数]

比如，调用 Shell32.dll 中的 Control_RunDLL 函数打开 Windows控制面板，具体命令如下所示。

run