专栏首页FreeBufclrinject:向CLR Runtimes和AppDomain中注入代码的工具

clrinject:向CLR Runtimes和AppDomain中注入代码的工具

前言

clrinject是一款可将C#,EXE或DLL程序集,注入另一个进程CLR Runtimes和AppDomain的工具。注入的程序集可访问injectee进程类的静态实例,从而影响其内部状态。

使用

clrinject-cli.exe -p <processId/processName> -a <assemblyFile>

打开id为或名称为的进程,注入 EXE并执行Main方法。

其他选项

-e:枚举所有已加载的CLR Runtimes时和创建的AppDomain。
-d <#>:仅注入<#> -th AppDomain。如果未指定数字或指定为零,则会将程序集注入到所有AppDomain。
-i <namespace>.<className>:从命名空间<namespace>创建类<className>的实例。

示例

使用示例

从victim.exe枚举Runtimes和AppDomains:

clrinject-cli.exe -p victim.exe -e

将invader.exe从id为1234的进程注入第二个AppDomain:

clrinject-cli.exe -p 1234 -a "C:\Path\To\invader.exe" -d 2

在victim.exe中的每个AppDomain中创建Invader实例:

clrinject-cli.exe -p victim.exe -a "C:\Path\To\invader.dll" -i "Invader.Invader"

将x64程序集注入x64进程:

clrinject-cli64.exe -p victim64.exe -a "C:\Path\To\invader64.exe"

可注入程序集示例

以下代码可编译为C#可执行文件,然后注入到一个PowerShell进程。这段代码将会访问内部PowerShell类的静态实例,并将控制台文本的颜色更改为绿色。

using System;
using System.Reflection;

using Microsoft.PowerShell;
using System.Management.Automation.Host;

namespace Invader
{
    class Invader
    {
        static void Main(string[] args)
        {
            try
            {
                var powerShellAssembly = typeof(ConsoleShell).Assembly;
                var consoleHostType = powerShellAssembly.GetType("Microsoft.PowerShell.ConsoleHost");
                var consoleHost = consoleHostType.GetProperty("SingletonInstance", BindingFlags.Static | BindingFlags.NonPublic).GetValue(null);

                var ui = (PSHostUserInterface)consoleHostType.GetProperty("UI").GetValue(consoleHost);
                ui.RawUI.ForegroundColor = ConsoleColor.Green;
            }
            catch (Exception e)
            {
                Console.WriteLine(e.ToString());
            }
        }
    }
}

注入命令:

clrinject-cli64.exe -p powershell.exe -a "C:\Path\To\invader64.exe"

结果:

*参考来源:github,FB小编secist编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Medusalocker勒索病毒,小心勒索加密无得解

    近日,深信服安全团队接到用户的勒索求助,排查发现是一款名为MedusaLocker的勒索软件家族。该勒索病毒家族具有一些独特的功能,它不仅会感染本地计算机,而且...

    FB客服
  • ATBroker.exe:一个被病毒利用的微软进程

    一般情况下,病毒会利用添加启动项、计划任务、服务的方式来实现开机启动,达到留存和活跃的目的。然而,利用atbroker.exe系统进程,实现病毒开机启动的方式并...

    FB客服
  • 记一次应急中发现的诡异事件

    在一次应急响应中,无意发现来自不同地区和人员的攻击,两种留后门的方法,截然不同的操作,不同的技术手法。

    FB客服
  • windows XP cmd命令大全

    它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络...

    cwl_java
  • windows XP cmd命令大全 (1)

    accwiz.exe -> 辅助工具向导 acsetups.exe -> acs setup dcom server executable actmovie...

    赵腰静
  • Medusalocker勒索病毒,小心勒索加密无得解

    近日,深信服安全团队接到用户的勒索求助,排查发现是一款名为MedusaLocker的勒索软件家族。该勒索病毒家族具有一些独特的功能,它不仅会感染本地计算机,而且...

    FB客服
  • 电脑运行命令大全

    gpedit.msc-----组策略 dxdiag---------检查DirectX信息 rononce-p----15秒关机 sndrec32-------...

    I Tech You_我教你
  • 常见反病毒进程/服务/识别总结

    服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)...

    贝塔安全实验室
  • win2003服务器安全设置教程

    用户1127987
  • Windows终端好难用? 试试git bash吧!

    zhaoolee

扫码关注云+社区

领取腾讯云代金券