idiotc4t's blog
搜索文档…
Execute-Assembly实现

简介

cs实现了在非托管程序中加载.net程序集的功能,该功能使我们的恶意.net程序集不落地在内存中执行,这个实质是当前进程通过com接口初始化(公共语言运行时)CLR环境,本文尝试对该功能进行复现。

ICLRMetaHost 接口

提供一些方法,这些方法基于公共语言运行时的版本号返回特定版本的公共语言运行时 () ,列出所有已安装的 Clr,列出在指定进程中加载的所有运行时,发现编译程序集所用的 CLR 版本,退出使用干净运行时关闭的进程,以及查询旧的 API 绑定。
GetRuntime 方法 获取与特定 CLR 版本相对应的 ICLRRuntimeInfo 接口。 此方法取代了与STARTUP_LOADER_SAFEMODE标志一起使用的CorBindToRuntimeEx函数。

ICLRRuntimeInfo 接口

接口 提供一些方法,这些方法可返回有关特定公共语言运行时 (CLR) 的信息,包括版本、目录和加载状态。 此接口还提供了特定于运行时的功能,而无需初始化运行时。 它包括运行时相对 LoadLibrary 方法、运行时模块特定的 GetProcAddress 方法和通过 GetInterface 方法提供的运行时提供的接口。
GetInterface 方法 将 CLR 加载到当前进程并返回运行时接口指针,如 ICLRRuntimeHost、 ICLRStrongName 和 IMetaDataDispenser。 此方法将取代所有 CorBindTo* 函数。

ICLRRuntimeHost 接口

提供与 .NET Framework 版本1中提供的 ICorRuntimeHost 接口类似的功能,其中包含以下更改: 用于设置宿主控件接口的 SetHostControl 方法的添加。 省略提供的某些方法 ICorRuntimeHost 。
Start 方法 将 CLR 初始化为一个进程。
ExecuteInDefaultAppDomain 方法 在指定的程序集中调用指定类型的指定方法。

流程A(硬盘加载)

  1. 1.
    初始化ICLRMetaHost接口。
  2. 2.
    通过ICLRMetaHost获取ICLRRuntimeInfo接口。
  3. 3.
    通过ICLRRuntimeInfo将 CLR 加载到当前进程并返回运行时接口ICLRRuntimeHost指针。
  4. 4.
    通过ICLRRuntimeHost.Start()初始化CLR。
  5. 5.
    通过ICLRRuntimeHost.EecuteInDefaultAppDomain执行指定程序集(硬盘上)。

实现

unmanaged.cpp
managed.cs
1
#include <metahost.h>
2
#pragma comment(lib, "mscoree.lib")
3
4
int main()
5
{
6
ICLRMetaHost* iMetaHost = NULL;
7
ICLRRuntimeInfo* iRuntimeInfo = NULL;
8
ICLRRuntimeHost* iRuntimeHost = NULL;
9
10
//初始化环境
11
CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (LPVOID*)&iMetaHost);
12
iMetaHost->GetRuntime(L"v4.0.30319", IID_ICLRRuntimeInfo, (LPVOID*)&iRuntimeInfo);
13
iRuntimeInfo->GetInterface(CLSID_CLRRuntimeHost, IID_ICLRRuntimeHost, (LPVOID*)&iRuntimeHost);
14
iRuntimeHost->Start();
15
16
//执行
17
iRuntimeHost->ExecuteInDefaultAppDomain(L"C:\\Users\\Black Sheep\\source\\repos\\HostingCLR\\TEST\\bin\\Debug\\TEST.exe", L"TEST.Program", L"print", L"test", NULL);
18
19
//释放
20
iRuntimeInfo->Release();
21
iMetaHost->Release();
22
iRuntimeHost->Release();
23
24
return 0;
25
};
Copied!
1
using System;
2
3
namespace TEST
4
{
5
class Program
6
{
7
static int Main(String[] args)
8
{
9
10
return 1;
11
}
12
static int print(String strings)
13
{
14
Console.WriteLine(strings);
15
return 1;
16
}
17
}
18
}
Copied!

流程B(内存加载)

1.初始化CLR环境(同上)
1
CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (VOID**)&iMetaHost);
2
iMetaHost->GetRuntime(L"v4.0.30319", IID_ICLRRuntimeInfo, (VOID**)&iRuntimeInfo);
3
iRuntimeInfo->GetInterface(CLSID_CorRuntimeHost, IID_ICorRuntimeHost, (VOID**)&iRuntimeHost);
4
iRuntimeHost->Start();
Copied!
2.通过ICLRRuntimeHost获取AppDomain接口指针,然后通过AppDomain接口的QueryInterface方法来查询默认应用程序域的实例指针。
1
iRuntimeHost->GetDefaultDomain(&pAppDomain);
2
pAppDomain->QueryInterface(__uuidof(_AppDomain), (VOID**)&pDefaultAppDomain);
Copied!
3.通过默认应用程序域实例的Load_3方法加载安全.net程序集数组,并返回Assembly的实例对象指针,通过Assembly实例对象的get_EntryPoint方法获取描述入口点的MethodInfo实例对象。
1
saBound[0].cElements = ASSEMBLY_LENGTH;
2
saBound[0].lLbound = 0;
3
SAFEARRAY* pSafeArray = SafeArrayCreate(VT_UI1, 1, saBound);
4
5
SafeArrayAccessData(pSafeArray, &pData);
6
memcpy(pData, dotnetRaw, ASSEMBLY_LENGTH);
7
SafeArrayUnaccessData(pSafeArray);
8
9
pDefaultAppDomain->Load_3(pSafeArray, &pAssembly);
10
pAssembly->get_EntryPoint(&pMethodInfo);
Copied!
4.创建参数安全数组
1
ZeroMemory(&vRet, sizeof(VARIANT));
2
ZeroMemory(&vObj, sizeof(VARIANT));
3
vObj.vt = VT_NULL;
4
5
vPsa.vt = (VT_ARRAY | VT_BSTR);
6
args = SafeArrayCreateVector(VT_VARIANT, 0, 1);
7
8
if (argc > 1)
9
{
10
vPsa.parray = SafeArrayCreateVector(VT_BSTR, 0, argc);
11
for (long i = 0; i < argc; i++)
12
{
13
SafeArrayPutElement(vPsa.parray, &i, SysAllocString(argv[i]));
14
}
15
16
long idx[1] = { 0 };
17
SafeArrayPutElement(args, idx, &vPsa);
18
}
19
Copied!
5.通过描述入口点的MethodInfo实例对象的Invoke方法执行入口点。
1
HRESULT hr = pMethodInfo->Invoke_3(vObj, args, &vRet);
Copied!

完整代码

unmanaged.cpp
managed.cs
1
#include <stdio.h>
2
#include <tchar.h>
3
#include <metahost.h>
4
#pragma comment(lib, "mscoree.lib")
5
6
#import <mscorlib.tlb> raw_interfaces_only \
7
high_property_prefixes("_get","_put","_putref") \
8
rename("ReportEvent", "InteropServices_ReportEvent") \
9
rename("or", "InteropServices_or")
10
11
using namespace mscorlib;
12
#define ASSEMBLY_LENGTH 8192
13
14
15
unsigned char dotnetRaw[8192] =
16
"\x4d\x5a\x90\x00\x03\x00\x00\x00\x04\x00\x00\x00\xff\xff\x00...";//.net程序集字节数组
17
18
19
20
int _tmain(int argc, _TCHAR* argv[])
21
{
22
23
ICLRMetaHost* iMetaHost = NULL;
24
ICLRRuntimeInfo* iRuntimeInfo = NULL;
25
ICorRuntimeHost* iRuntimeHost = NULL;
26
IUnknownPtr pAppDomain = NULL;
27
_AppDomainPtr pDefaultAppDomain = NULL;
28
_AssemblyPtr pAssembly = NULL;
29
_MethodInfoPtr pMethodInfo = NULL;
30
SAFEARRAYBOUND saBound[1];
31
void* pData = NULL;
32
VARIANT vRet;
33
VARIANT vObj;
34
VARIANT vPsa;
35
SAFEARRAY* args = NULL;
36
37
CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (VOID**)&iMetaHost);
38
iMetaHost->GetRuntime(L"v4.0.30319", IID_ICLRRuntimeInfo, (VOID**)&iRuntimeInfo);
39
iRuntimeInfo->GetInterface(CLSID_CorRuntimeHost, IID_ICorRuntimeHost, (VOID**)&iRuntimeHost);
40
iRuntimeHost->Start();
41
42
43
iRuntimeHost->GetDefaultDomain(&pAppDomain);
44
pAppDomain->QueryInterface(__uuidof(_AppDomain), (VOID**)&pDefaultAppDomain);
45
46
saBound[0].cElements = ASSEMBLY_LENGTH;
47
saBound[0].lLbound = 0;
48
SAFEARRAY* pSafeArray = SafeArrayCreate(VT_UI1, 1, saBound);
49
50
SafeArrayAccessData(pSafeArray, &pData);
51
memcpy(pData, dotnetRaw, ASSEMBLY_LENGTH);
52
SafeArrayUnaccessData(pSafeArray);
53
54
pDefaultAppDomain->Load_3(pSafeArray, &pAssembly);
55
pAssembly->get_EntryPoint(&pMethodInfo);
56
57
ZeroMemory(&vRet, sizeof(VARIANT));
58
ZeroMemory(&vObj, sizeof(VARIANT));
59
vObj.vt = VT_NULL;
60
61
62
63
vPsa.vt = (VT_ARRAY | VT_BSTR);
64
args = SafeArrayCreateVector(VT_VARIANT, 0, 1);
65
66
if (argc > 1)
67
{
68
vPsa.parray = SafeArrayCreateVector(VT_BSTR, 0, argc);
69
for (long i = 0; i < argc; i++)
70
{
71
SafeArrayPutElement(vPsa.parray, &i, SysAllocString(argv[i]));
72
}
73
74
long idx[1] = { 0 };
75
SafeArrayPutElement(args, idx, &vPsa);
76
}
77
78
HRESULT hr = pMethodInfo->Invoke_3(vObj, args, &vRet);
79
pMethodInfo->Release();
80
pAssembly->Release();
81
pDefaultAppDomain->Release();
82
iRuntimeInfo->Release();
83
iMetaHost->Release();
84
CoUninitialize();
85
86
return 0;
87
};
88
Copied!
1
using System;
2
3
namespace TEST
4
{
5
class Program
6
{
7
static int Main(String[] args)
8
{
9
Console.WriteLine("hello world!");
10
foreach (var s in args)
11
{
12
Console.WriteLine(s);
13
}
14
return 1;
15
}
16
}
17
}
Copied!

LINKS

In Process Execute Assembly and Mail Slots
Team Hydra
Developer tools, technical documentation and coding examples
docsmsft
Execute assembly via Meterpreter session
B4rtik
Execute assembly via Meterpreter session - Part 2
B4rtik