Aladdin 是一种基于 James Forshaw (@tiraniddo) 工作的有效负载生成技术,它允许反序列化 .NET 有效负载并在内存中执行。
AddInProcess.exe通过使用参数/guid:32a91b0f-30cd-4c75-be79-ccbd6345de99和生成进程/pid:,该进程将启动一个命名管道\.pipe32a91b0f-30cd-4c75-be79-ccbd6345de99并等待 .NET Remoting 对象。如果我们生成的有效负载具有与 .NET 远程侦听器通信所需的适当数据包字节,我们将能够从 System.Workflow.ComponentModel 触发 ActivitySurrogateSelector 类。并获得代码执行。
Aladdin 是一个有效负载生成工具,它使用特定的旁路以及 .NET 远程协议的必要标头字节能够生成滥用原始记录的初始访问有效负载AddInProcess。
提供的模板是:
* HTA* VBA* JS* CHM
为了使攻击成功,.NET 程序集必须包含一个带有空构造函数的公共类,以充当反序列化期间的入口点。项目中包含了一个示例程序集。
public class EntryPoint {public EntryPoint() {MessageBox.Show("Hello");}}
用法
Usage:-w, --scriptType=VALUE Set to js / hta / vba / chm.-o, --output=VALUE The generated output, e.g: -oC:UsersNettitudeDesktoppayload-a, --assembly=VALUE Provided Assembly DLL, e.g: -aC:UsersNettitudeDesktoppopcalc.dll-h, --help Help
项目地址
https://github.com/nettitude/Aladdin
原文始发于微信公众号(TtTeam):神兵利器 - 允许 .NET 负载反序列化并在内存中执行的负载
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论