怎么使用ExecuteAssembly實(shí)現(xiàn).NET程序加載和注入

這篇文章主要講解了“怎么使用ExecuteAssembly實(shí)現(xiàn).NET程序加載和注入”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“怎么使用ExecuteAssembly實(shí)現(xiàn).NET程序加載和注入”吧！

創(chuàng)新互聯(lián)建站主營平泉網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,App定制開發(fā),平泉h5重慶小程序開發(fā)搭建,平泉網(wǎng)站營銷推廣歡迎平泉等地區(qū)企業(yè)咨詢

關(guān)于ExecuteAssembly

ExecuteAssembly是CS可執(zhí)行組件的一個(gè)替代方案，ExecuteAssembly基于C/C++構(gòu)建，可以幫助廣大研究人員實(shí)現(xiàn).NET程序集的加載和注入。ExecuteAssembly復(fù)用了主機(jī)進(jìn)程spawnto來加載CLR模塊/AppDomainManager，Stomping加載器/.NET程序集PE DOS頭，并卸載了.NET相關(guān)模塊，以實(shí)現(xiàn)ETW+AMSI繞過。除此之外，它還能夠繞過基于NT靜態(tài)系統(tǒng)調(diào)用的EDR鉤子，以及通過動(dòng)態(tài)解析API（superfasthash哈希算法）實(shí)現(xiàn)隱藏導(dǎo)入。

功能介紹

從PEB數(shù)據(jù)結(jié)構(gòu)體中卸載了CLR相關(guān)模塊；

對(duì).NET程序集和反射型DLL頭進(jìn)行了流處理；

使用靜態(tài)硬編碼系統(tǒng)調(diào)用繞過EDR鉤子；

CLR “AppDomain/AppDomainManager”枚舉和重用；

WIn32 API動(dòng)態(tài)解析，基于API響應(yīng)哈希實(shí)現(xiàn)；

在加載.NET程序集之后實(shí)現(xiàn)AMSI和ETW修復(fù)；

.NET程序集字節(jié)解析，掃描需要加載和使用的CLR版本；

未使用GetProcAddress/LoadLibrary/GetModuleHandle以實(shí)現(xiàn)ETW繞過；

使用了v4 COM API & 反射DLL注入實(shí)現(xiàn)CLR托管；

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/med0x2e/ExecuteAssembly.git

工具使用

x64(syscalls)：這個(gè)版本主要依賴于使用靜態(tài)系統(tǒng)調(diào)用來繞過EDR鉤子，你可以使用這個(gè)版本來構(gòu)建x64版本的DLL（目前只支持x64）。

x86|x64(PEB)：通過遍歷PEB模塊EAP表并通過superfasthash哈希解析API，在運(yùn)行時(shí)動(dòng)態(tài)檢索所需的API地址。但是，這并沒有考慮kernel32.dll或ntdll.dll中EDR鉤子的設(shè)置位置，我們可以使用此版本同時(shí)生成x86和x64 DLL，或僅生成x86 DLL，并使用x64（syscalls）版本生成x64 DLL以應(yīng)對(duì)常見的EDR鉤子。

使用VS2017或Windows SDK 10.0.17134.0（或兼容SDK版本）構(gòu)建所需的DLL。

確保已裝好了gzip，并且確保相同目錄下已存放下列組件，并加載腳本“ExecuteAssembly.cna”：

ExecuteAssembly.cna

ExecuteAssembly-x64.dll

ExecuteAssembly-x86.dll

命令行接口選項(xiàng)

--dotnetassembly: .NET Assembly to load/inject.

--assemblyargs: .NET assembly arguments.

--unlink-modules: Unlink .NET related modules such as CLR/MsCoree related DLLs from PEB data structures.

--stomp-headers: Stomp .NET assembly and reflective DLL PE DOS headers.

--etw: Bypass event tracing on windows (ETW).

--amsi: Bypass AMSI.

--spawnto: Choose spawnto process, list of .NET binaries loading the CLR by default when executed:

      - PresentationHost.exe

      - stordiag.exe

      - ScriptRunner.exe

      - caitstatic.exe

      - Microsoft.Uev.SyncController.exe

      - TsWpfWrp.exe

      - UevAgentPolicyGenerator.exe

      - UevAppMonitor.exe

      - FileHistory.exe

      - UevTemplateBaselineGenerator.exe

      - UevTemplateConfigItemGenerator.exe

在默認(rèn)情況下加載CLR并將其設(shè)置為spawnto（避免使用已知的LOLBins）。

工具使用樣例

ExecuteAssembly --dotnetassembly /tmp/Seatbelt.exe --assemblyargs LogonSessions --unlink-modules --stomp-headers --amsi --etw --spawnto PresentationHost.exe

ExecuteAssembly --amsi --etw --unlink-modules --stomp-headers --dotnetassembly /tmp/ghostpack/SharPersist.exe --assemblyargs -t reg -c "C:\Windows\SysWow64\mshta.exe C:\Users\admin\Downloads\Test2.hta" -k logonscript -m add --spawnto FileHistory.exe

ExecuteAssembly --unlink-modules --stomp-headers --dotnetassembly /tmp/ghostpack/SharPersist.exe --assemblyargs -t reg -k "logonscript" -v "C:\Windows\SysWow64\mshta.exe C:\Users\admin\Downloads\Test.hta" -m remove --spawnto FileHistory.exe

ExecuteAssembly --unlink-modules --amsi --dotnetassembly /tmp/ghostpack/SharpWMI.exe --assemblyargs action=query computername=localhost query="select * from win32_service" --spawnto FileHistory.exe

ExecuteAssembly --amsi --etw --dotnetassembly /tmp/ghostpack/SharpWMI.exe --assemblyargs action=query query="select * from win32_process" --spawnto PresentationHost.exe

C2支持

該功能主要用于支持和測試Cobalt Strike，但是它也可以跟其他C2框架（比如MSF等）配合一起使用。但是別忘了反射DLL DLLMAIN需要以單獨(dú)一行Payload作為參數(shù)，格式如下：

AMSI_FLAG|ETW_FLAG|STOMPHEADERS_FLAG|UNLINKMODULES_FLAG|LL_FLAG.LENGTH_FLAG.B64_ENCODED_COMPRESSED_PAYLOAD [SPACE SEPARATED ARGUMENTS]

AMSI_FLAG: 0或1；

ETW_FLAG: 0或1；

STOMPHEADERS_FLAG: 0或1；

UNLINKMODULES_FLAG: 0或1；

LENGTH_FLAG: .NET程序集字節(jié)大?。?/p>

LL_FLAG: LENGTH_FLAG的長度；

B64_ENCODED_COMPRESSED_PAYLOAD: Gzip壓縮和Base64編碼的.NET程序集；

[SPACE SEPARATED ARGUMENTS]: .NET程序集參數(shù)；

感謝各位的閱讀，以上就是“怎么使用ExecuteAssembly實(shí)現(xiàn).NET程序加載和注入”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)怎么使用ExecuteAssembly實(shí)現(xiàn).NET程序加載和注入這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！

本文題目：怎么使用ExecuteAssembly實(shí)現(xiàn).NET程序加載和注入
網(wǎng)站路徑：http://m.jiaotiyi.com/article/gjsidi.html