Aladdin 是一种基于 James Forshaw (@tiraniddo) 工作的有效负载生成技术,它允许反序列化 .NET 有效负载并在内存中执行。
AddInProcess.exe通过使用参数/guid:32a91b0f-30cd-4c75-be79-ccbd6345de99和生成进程/pid:,该进程将启动一个命名管道\.pipe32a91b0f-30cd-4c75-be79-ccbd6345de99并等待 .NET Remoting 对象。如果我们生成的有效负载具有与 .NET 远程侦听器通信所需的适当数据包字节,我们将能够从 System.Workflow.ComponentModel 触发 ActivitySurrogateSelector 类。并获得代码执行。
Aladdin 是一个有效负载生成工具,它使用特定的旁路以及 .NET 远程协议的必要标头字节能够生成滥用原始记录的初始访问有效负载AddInProcess。
提供的模板是:
* HTA* VBA* JS* CHM
为了使攻击成功,.NET 程序集必须包含一个带有空构造函数的公共类,以充当反序列化期间的入口点。项目中包含了一个示例程序集。
public class EntryPoint {public EntryPoint() {MessageBox.Show("Hello");}}
用法
Usage:-w, --scriptType=VALUE Set to js / hta / vba / chm.-o, --output=VALUE The generated output, e.g: -oC:UsersNettitudeDesktoppayload-a, --assembly=VALUE Provided Assembly DLL, e.g: -aC:UsersNettitudeDesktoppopcalc.dll-h, --help Help
项目地址
https://github.com/nettitude/Aladdin
原文始发于微信公众号(TtTeam):神兵利器 - 允许 .NET 负载反序列化并在内存中执行的负载
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论