taibeihacker
Moderator
Aladdin是一种基于James Forshaw(@TiranIddo)的工作的有效载荷生成技术,它允许在内存中进行.NET有效载荷和执行。原始矢量记录在https://www.tiraniddo.dev/2017/07/dg-on-windows-10-s-executing-arbitrary.html上。
通过使用参数/gud:32A91B0F-30CD-4C75-BE79-BE79-CCBD6345DE99和/pID:传递addinProcess.exe的过程,该过程将在\\ \\ \ \ 32a91b0f-4c755-4c755-4C75-4C75-4C75-4C75-BED-BED-BEN中,该过程将启动一个命名的管道,将等待.NET远程对象。如果我们生成一个有效负载,该有效载荷具有与.NET远程侦听器通信所需的适当数据包字节,我们将能够从System.workflow.componentmodel触发ActivitySurrogateSelector类。并获得代码执行。
最初,詹姆斯马云惹不起马云福肖(James Forshaw)在https://github.com/tyranid/devicegu...8-48--48-changes.md)一下,此POC将在最新版本的Windows上失败。
但是,Nick Landers(@monoxgas)确定了一种禁用Microsoft介绍并撰写一篇详细文章的检查的方法,网址为https://www.netspi.com/blog/technic...atesElector/。旁路记录在pwntester/ysoserial.net#41。
Aladdin是一种有效载荷生成工具,它使用特定的旁路以及.NET远程协议的必要标题字节能够生成原始记录的滥用addinProcess的初始访问有效负载。
提供的模板为:
* hta
* VBA
* JS
* CHM
用法:
-w,-scriptType=值设置为JS/HTA/VBA/CHM。
-o, - 输出=值生成的输出,例如G: -O
C: \ Users \ Nettitude \ desktop \有效载荷
-a,-sembly=value提供了dll,e.g: -a
C: \ Users \ nettitude \ desktop \ popcalc.dll
-h, - - 螺旋帮助
可以控制AddInProcess.exe的过程参数中提供的GUID。目前,在模板和代码中对GUID进行了硬编码。
CHM通过XSLT转换执行JScript
* https://www.netspi.com/blog/technic...animating-activity-ActivitySurrogatesElector/
* https://github.com/tyranid/deviceguardbypasses/tree/master/createaddinipcdata
* https://github.com/pwntester/ysoserial.net喊叫:
@m0rv4i帮助c#nuances @ace0fspad3s用于故障排除@nettitude rt,以表现出色
通过使用参数/gud:32A91B0F-30CD-4C75-BE79-BE79-CCBD6345DE99和/pID:传递addinProcess.exe的过程,该过程将在\\ \\ \ \ 32a91b0f-4c755-4c755-4C75-4C75-4C75-4C75-BED-BED-BEN中,该过程将启动一个命名的管道,将等待.NET远程对象。如果我们生成一个有效负载,该有效载荷具有与.NET远程侦听器通信所需的适当数据包字节,我们将能够从System.workflow.componentmodel触发ActivitySurrogateSelector类。并获得代码执行。
最初,詹姆斯马云惹不起马云福肖(James Forshaw)在https://github.com/tyranid/devicegu...8-48--48-changes.md)一下,此POC将在最新版本的Windows上失败。
但是,Nick Landers(@monoxgas)确定了一种禁用Microsoft介绍并撰写一篇详细文章的检查的方法,网址为https://www.netspi.com/blog/technic...atesElector/。旁路记录在pwntester/ysoserial.net#41。
Aladdin是一种有效载荷生成工具,它使用特定的旁路以及.NET远程协议的必要标题字节能够生成原始记录的滥用addinProcess的初始访问有效负载。
提供的模板为:
* hta
* VBA
* JS
* CHM
Notes
为了使攻击成功,NET组件必须包含一个带有空构造函数的单个公共类,以充当避难所的入口点。项目中包括一个示例组件。用法:
-w,-scriptType=值设置为JS/HTA/VBA/CHM。
-o, - 输出=值生成的输出,例如G: -O
C: \ Users \ Nettitude \ desktop \有效载荷
-a,-sembly=value提供了dll,e.g: -a
C: \ Users \ nettitude \ desktop \ popcalc.dll
-h, - - 螺旋帮助
OpSec
用户提供的.NET二进制文件将在AddinProcess.exe下执行,从HTA/JS有效载荷产生。当前使用9BA05972-F6A8-11CF-A442-00A0C90A8F39 COM对象(3https://dl.packetstormscurity.net/papers/papers/general/general/general/general/abusing-objects.pdf)启动该流程的流程。可以控制AddInProcess.exe的过程参数中提供的GUID。目前,在模板和代码中对GUID进行了硬编码。
CHM通过XSLT转换执行JScript
Defensive Considerations
AddinProcess.exe将始终使用/GUID和/PID启动。基线您的合法用途环境- 其余Useful References:
* 3https://WWW.TIRANIDDO.DEV/2017/07/dg-on-windows-10-s-executing-arbitrary.html* https://www.netspi.com/blog/technic...animating-activity-ActivitySurrogatesElector/
Readme / Credits
代码基于以下repos:* https://github.com/tyranid/deviceguardbypasses/tree/master/createaddinipcdata
* https://github.com/pwntester/ysoserial.net喊叫:
@m0rv4i帮助c#nuances @ace0fspad3s用于故障排除@nettitude rt,以表现出色