- 博客(379)
- 收藏
- 关注
RSS订阅原创 .NET 攻击面发现新维度,提取临时编译文件跨应用获取敏感信息
在红队作战中,信息收集是突破防御体系的第一把钥匙。传统的攻击面发现手段,比如端口扫描、服务枚举、漏洞探测往往聚焦于网络层或应用层,而针对。
2025-07-23 08:30:00
795
原创 .NET免杀技术,通过跨语言互操作执行系统命令
NET框架最显著的设计优势之一是其卓越的跨语言互操作能力。这种能力源于其精心设计的架构体系,特别是基于中间语言(Common Intermediate Language, CIL)的执行模型。在.NET生态系统中,无论红队使用C#、VB.NET还是F#等语言编写代码,最终都会被编译为统一的CIL代码。这种设计使得不同.NET语言之间的界限变得模糊,为红队提供了前所未有的灵活性。CLR(公共语言运行时)作为.NET的核心执行引擎,负责将CIL代码即时编译为本地机器码执行。
2025-07-21 08:30:00
441
原创 适配哥斯拉的 PNG WebShell,.NET 借助图片绕过安全拦截实现目标权限维持
Sharp4WebGodzilla.png工具的开发正是基于这一需求,它为红队提供了一种将.NET代码隐藏在PNG图片中的创新方法,极大地提高了载荷的隐蔽性,满足了红队在复杂网络环境下的隐蔽渗透需求。通过将.NET代码隐藏在PNG图片中,利用IIS默认图片进行伪装,成功地绕过了传统安全产品的检测,为红队提供了一种高效、隐蔽的攻击方式。与传统的WebShell相比,Sharp4WebGodzilla.png具有更高的隐蔽性,能够有效地绕过安全产品的检测,为红队在目标系统中建立隐蔽的后门通道。
2025-07-18 08:30:00
502
原创 隐匿转发,精准打点,通过 Sharp4TranPort 实现内网边界的端口转发
Sharp4TranPort.exe 是一款用于 TCP 流量转发的控制台工具,其核心逻辑是将来自本地端口的连接请求,转发到指定的远程目标 IP 和端口,实现在客户端和远程服务之间建立一个桥梁。参数 -a pf 动作(pf = Port Forward),-lp 本地监听端口,-rh 远程主机 IP表示目标服务器,-rp 远程主机端口,代表目标服务。实现数据的双向透明转发,不依赖第三方库,支持灵活的命令行参数配置,是 .NET 平台下红队实战利器之一。的 RDP 服务,实现远程控制,如下图所示。
2025-07-16 08:30:00
394
原创 .NET Emit 技术打造免杀 WebShell 突破安全壁垒
在当下的红队攻防演练活动里,WebShell 仍旧是攻击者实现内网初始渗透落地、横向拓展渗透范围以及维持系统权限的关键手段之一。不过,随着主流杀毒软件不断更新针对传统 WebShell 的签名库,特别是对像 Process.Start 这类关键 API 的监控力度持续加大,红队面临着新的挑战——如何绕过杀毒软件的检测。在此背景下,今天为大家介绍一种利用 System.Reflection.Emit 所具备的动态代码生成能力,达成免杀执行命令的方法。
2025-07-14 08:30:00
612
原创 .NET内网实战:通过 CryptoService 解密 Cookie 票据
本文内容部分节选自小报童《.NET 通过 CryptoService 解密Cookie票据》,完整的文章内容请加入小报童后订阅查看。现在限时只需69元,永久买断!目前已有300+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
2025-07-11 08:30:00
638
原创 Sharp4WebCmd 再增强:无需 cmd.exe 实现任意命令和外部 EXE 文件的执行
相比前代版本,Sharp4WebCmdPlus3 还增强了底层 API 对外部可执行文件(EXE)的运行支持,能够在不触发常规安全策略的前提下,加载并执行指定程序,为渗透测试提供了更加灵活且隐蔽的操作手段。通过其双模式命令/EXE机制,红队可以将攻击链从脚本层延伸至本地工具,极大地扩展了能力边界。在红队渗透测试中,绕过安全防护机制以实现隐蔽的命令执行,是关键的攻击策略之一。的依赖,转而通过底层 Windows API 实现命令解析与执行,无需调用。” 复选框,即切换为 EXE 执行模式,比如运行如下命令。
2025-07-09 08:30:00
327
原创 解密 .NET 身份票据,红队视角还原 Cookies 登录态
是身份认证的核心 Cookie,承载了登录用户的权限信息、身份标识和生存时间。一旦被红队获取,并能成功解密,还原用户票据结构,它是 FormsAuthentication 认证机制的核心,一旦生成,便承载了用户的登录状态和权限信息。详情的示例说明,第一个参数 .ASPXAUTH 的 Cookie 值,以Base64 或十六进制字符串为主,如下所示。是 ASP.NET 最常见的身份令牌之一,一旦被还原,便意味着完整的登录状态被复制。工具让这一过程自动化、实战化、无交互,成为红队权限维持与认证绕过的有力工具。
2025-07-07 08:30:00
341
原创 实战精准压缩打包,通过 Sharp4ArchiveZip过滤指定支持目录与文件类型
传统压缩工具比如 WinRAR、7-Zip虽然功能强大,但在自动化、排除特定文件、集成进攻击流程等方面略显繁琐,尤其在与 WebShell 工具联动时,打包后的稳定性与兼容性也存在问题。综上,Sharp4ArchiveZip.exe 是一款轻量级文件压缩工具,基于 .NET 实现,支持自动排除冗余目录与文件类型,同时兼顾压缩稳定性和战术灵活性,是渗透测试工程中不可多得的好助手。提供了可自定义排除目录,比如obj、.git和文件扩展名比如.user、.pdb,支持命令行调用,适合自动化等优势。
2025-07-04 10:12:18
377
原创 实战级权限维持,从配置到命令执行一键部署 ViewState WebShell
在红队渗透测试中,权限维持是核心环节之一。尤其在面对已成功打点的 .NET Web 服务时,如何在不落盘、不依赖权限提升的前提下,实现长时间稳定控制,始终是红队技术演进的方向。
2025-07-02 08:30:00
306
原创 .NET 字节层面免杀,通过 Sharp4ByteDLL 实现字节流转换绕过安全防护
在渗透测试与红队攻击活动中,传统的 .NET 执行路径已经成为安全检测的重点区域。无论是基于行为分析的 EDR,还是依赖签名识别的静态扫描工具,都会对。
2025-06-30 08:30:00
420
原创 .NET 2025年第 77 期工具库和资源汇总
文/章/涉/及/的/工/具/已/打/包,请//加//入//后/下//载:https://wx.zsxq.com/group/51121224455454
2025-06-27 08:30:00
232
原创 .NET内网实战:.NET 通过APC注入绕过终端安全防护
本文内容部分节选自小报童《.NET 通过APC注入绕过终端安全防护》,完整的文章内容请加入小报童后订阅查看。现在限时只需69元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!线程在不同阶段具有不同状态。虽然这些状态不像进程状态那样通过 API 直接暴露,但可以通过调试器或性能分析工具查看,常见的状态有如下几种Initialized 表示刚创建尚未运行,尚未进入调度器队列Ready 等待 CPU 调度运行Running 正在 CPU 上执行。
2025-06-25 08:30:00
804
原创 .NET 通过 Windows 输入法接口注入执行 Shellcode
在红队实战中,绕过防护、执行 Shellcode 是最基础也最关键的一环。传统的 Shellcode 执行方式多通过。
2025-06-23 08:30:00
285
原创 揭秘.NET ViewState 持久化利用链,通过 Sharp4ViewStateShellPlus 一键增强持久化后门
在红队渗透测试中,权限维持是极其关键的一环。在目标主机初次被攻陷后,如何长期稳定地保持对其访问权限,往往决定了整个行动的成败。特别是在面对以 .NET 技术构建的 Web 系统时,如何在不暴露明显痕迹的情况下实现远程命令执行,一直是红队技术研究的重点。
2025-06-20 08:30:00
376
原创 红队专属技巧:记一次渗透实战中对 .NET 伪加密存储的审计
跟踪登录运行的步骤,并且在密码base64编码后添加到起始位置, 最后在SaveUserInfo方法内将账密等信息保存到xml文件内,如下图所示。然而,在实际的安全评估中,我们经常会发现开发者使用了自定义加密或混淆手段,看似防护严密,实则形同虚设。然而,在没有算法信息的前提下,直接将该字段进行Base64解码后得到的是乱码,说明其加密方式并非标准。作为红队或安全从业者,应时刻关注程序中隐藏在自定义加密下的安全隐患,深入理解加解密流程背后的本质逻辑,才能在实战中获得真正有价值的突破口。
2025-06-18 08:30:00
359
原创 PNG中潜伏.NET攻击载体,红队借图突围EDR防线
在红队攻防演练中,安全产品对传统.NET加载行为的监控越来越精准,任何携带可识别特征的.NET程序集都容易触发防护机制。为了提升载荷的隐蔽性,红队常常尝试将恶意代码藏在看似无害的载体中进行传输与执行。
2025-06-13 08:30:00
611
原创 .NET内网实战:通过winlogon进程提升至SYSTEM权限
本文内容部分节选自小报童《.NET 通过winlogon进程提升至SYSTEM权限》,完整的文章内容请加入小报童后订阅查看。现在限时只需69元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
2025-06-11 08:30:00
948
原创 .NET 2025年第 75 期工具库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-06-09 11:17:08
409
原创 .NET 内网实战:通过 EnumSystemCodePagesA 函数执行 ShellCode
本文内容部分节选自小报童《.NET 通过 EnumSystemCodePagesA 函数执行ShellCode》,完整的文章内容请加入小报童后订阅查看。现在限时只需69元,永久买断!目前已有380+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
2025-06-06 08:30:00
436
原创 技术精华 | .NET 四种方法上传 web.config 绕过限制实现 RCE
在 .NET Web 应用安全领域,web.config 文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。本篇文章将系统性地介绍,结合真实案例,深入剖析其利用方式及相应防御措施。当 IIS 服务器,且无法上传 .aspx、.asmx、.soap 等扩展名的文件时,攻击者可以尝试上传特制的 web.config,让其作为 .NET 脚本运行。
2025-06-05 08:30:00
642
原创 免杀 WebShell,通过 Sharp4AppdShell.aspx 绕过服务端 WAF 的监测和拦截
在现代网络攻防对抗中,WebShell 依旧是渗透测试过程中常用的持久化控制手段之一。而面对日益严苛的杀软检测机制和流量分析系统,传统的 WebShell 已越来越容易被检测拦截。从服务端的任务管理器进程里可以看到winver.exe已经成功启动,对于传统规则基杀软,比如基于关键字、行为特征,该 WebShell 难以被检测。部署后,用户只需通过浏览器或 HTTP 客户端请求带参数的 URL 即可远程执行系统命令。,结构简洁、易于部署,同时具备一定的免杀能力。,并将标准输出返回到浏览器页面。
2025-06-04 08:30:00
297
原创 WebShell 对抗进化,规避w3wp进程树监测,黑屏之下绕过 cmd.exe 调用链静默执行
在当今红蓝对抗持续升级的环境中,越来越多的安全产品已经不再满足于传统的文件特征识别方式,而是将重点转向对。
2025-05-30 08:30:00
487
原创 攻防实战,基于全新 Unicode 编码方式实现的 .NET 免杀 WebShell
随着安全防护产品对传统 WebShell 特征的识别能力不断增强,许多经典的 WebShell 编码方式,比如。被提出,它可以有效绕过大部分终端安全检测,甚至在 Visual Studio 等开发工具中也无法被正确解析。已经被纳入主流杀软与 WAF 的规则库中,失去了原有的隐身能力。本文将详细介绍一款采用此技术实现的 WebShell-,并剖析其免杀核心机制与典型使用场景。
2025-05-28 08:45:00
192
原创 .NET WebShell 绕过 EDR 监控,不调用 cmd.exe 也能实现命令执行
在红队渗透环境中,攻防对抗的深度不断升级,安全厂商纷纷将注意力从传统病毒特征识别,转向对行为链的监控和阻断。红队常用的。
2025-05-27 08:30:00
673
原创 .NET 白名单文件通过反序列化执行系统命令
VisualUiaVerifyNative.exe 是一款具备微软签名的可执行文件,属于Microsoft UI Automation框架的一部分,最初设计用于帮助开发人员验证UI自动化的状态,一般在 Microsoft Windows SDK(Windows Kits)包中,比如路径:Windows Kits\10\bin\10.0.22621.0\x64\UIAVerify,该工具通常依赖于以下两个重要的动态链接库(DLL)文件:
2025-05-26 08:15:00
33
原创 .NET看不见的武器,通过隐形字符绕过WebShell检测
之所以这么流行,是因为 UTF-8 完全兼容 ASCII,对于 ASCII 字符,UTF-8 使用和 ASCII 完全一样的编码方式,同样只使用一个字节,这就意味着,如果被编码的字符仅含 ASCII 字符,那即使是用 UTF-8 进行编码,只支持 ASCII 的旧系统仍然能够准确地解码。原//价//258//元,现//限//量//优//惠,全//套//仅//售//点//击//京//东//链//接:https://item.jd.com/10140917044329.html。
2025-05-22 08:30:00
995
原创 .NET 通过Fsharp执行命令绕过安全防护
除了交互式执行代码,fsi.exe 还可以用来执行 .fsx 和 .fsscript 文件(F# 脚本文件),并且与.NET框架深度捆绑集成,可以在 F# Interactive 中调用 .NET API,甚至与 C# 和其他 .NET 语言无缝集成。F# 是一种功能强大、功能式编程为主的编程语言,F# 是 .NET 平台的一部分,能够与 C# 和 Visual Basic 等 .NET 语言无缝集成,允许开发者使用函数式编程的优点,同时也可以使用面向对象和命令式编程。
2025-05-20 08:30:00
38
原创 免杀 WebShell,通过 Sharp4AppdShell.aspx 绕过服务端 WAF 的监测和拦截
在现代网络攻防对抗中,WebShell 依旧是渗透测试过程中常用的持久化控制手段之一。而面对日益严苛的杀软检测机制和流量分析系统,传统的 WebShell 已越来越容易被检测拦截。从服务端的任务管理器进程里可以看到winver.exe已经成功启动,对于传统规则基杀软,比如基于关键字、行为特征,该 WebShell 难以被检测。部署后,用户只需通过浏览器或 HTTP 客户端请求带参数的 URL 即可远程执行系统命令。,结构简洁、易于部署,同时具备一定的免杀能力。,并将标准输出返回到浏览器页面。
2025-05-16 08:30:00
288
原创 .NET 通过命令行解密web.config配置
在.NET应用系统中,保护数据库连接字符串的安全性至关重要。.NET 提供了一种通过 DataProtectionConfigurationProvider 加密连接字符串的方法,以防止敏感数据泄露。然而,在内网信息收集阶段,攻击者只需在目标主机上运行aspnet_regiis.exe这个命令行工具即可完成解密,获取数据库连接的明文字符串。aspnet_regiis.exe 是一个命令行工具,用于配置和管理 .NET 应用程序在 IIS 中的注册和设置。
2025-05-15 10:20:46
198
原创 .NET 通过执行XOML文件代码绕过安全防护
WFC.exe 是 .NET Framework 工具套件的一部分,用于编译 Windows Workflow Foundation (WF) 来构建支持工作流程的应用程序,具体来说,WFC.exe 通过将工作流程文件(通常是 .XOML 文件)编译成可执行的.NET程序集。
2025-05-09 08:30:00
56
原创 .NET 通过回调函数执行 Shellcode启动进程
Shellcode 是一种专门编写的机器码程序,通常用于利用计算机系统的漏洞。这些代码片段设计得非常紧凑和高效,目的是在目标系统上执行特定的操作。
2025-05-06 11:57:08
279
原创 .NET 内网通过执行命令查找出网机器
然而,这也提醒我们,在日常的网络安全防护中,需要高度重视对DNS流量的监控和分析,以防止内网信息的泄漏。使用起来非常简单,无需登录,只需在使用前点击 "Get SubDomain" 按钮,生成一个唯一的子域名,例如 q22gjj.dnslog.cn,这个子域名是用户在测试过程中使用的唯一标识符。在内网环境下,通过扫描网段获得内网主机所有的IP地址,Environment.MachineName 获取计算机名,Dns.GetHostAddresses 获取主机的所有IP地址。
2025-04-29 08:30:00
60
原创 .NET 实战对抗,内网渗透中红队通过 FSharp 执行命令绕过安全防护
在红队渗透测试中,Sharp4fsi.exe是一款基于F#的交互式编译器执行攻击负载的工具,通过封装或修改原始编译器,能够执行包含恶意代码的F#脚本文件。由于F#的交互式编译器本身带有微软的签名,因此Sharp4fsi.exe也继承了这一特性,使得在执行时能够绕过一些基于签名验证的安全防护软件。
2025-04-28 08:30:00
930
原创 .NET 通过进程管道执行CMD命令
cmd.exe作为Windows系统的传统命令行解释器,其行为模式广为人知,因此也成为了众多安全防护机制的重点监控对象,因此红队或者黑客在对抗时调用Windows系统kernel32.dll中的CreateProcess和CreatePipe函数实现任意系统命令的执行,这样做的好处是避免直接调用cmd.exe,能够降低被检测到的几率。接着,打开父进程的句柄,再通过DuplicateHandle函数将输出数据的句柄复制到父进程,使得子进程的输出数据能够重定向到父进程中,代码实现如下所示。
2025-04-22 08:30:00
56
原创 一种进程链欺骗的新思路,借壳 TrustedInstaller 服务,实现 SYSTEM 权限的隐匿执行
是一种比 SYSTEM 更高的服务账户,拥有对系统关键组件,如 Windows 更新、系统文件夹、驱动更高的操作权限。这时,如果能进一步提权为 TrustedInstaller,将拥有更广泛的控制权限。这个过程,Sharp4FromTrust 启动 Windows Modules Installer 服务,并调用其进程 PID,使用父子进程劫持技术将目标程序注入为该服务的子进程,从而实现以。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
2025-04-21 08:30:00
421
原创 实战上传 DLL 型 WebShell,一文详解 .NET 程序集 VS C++ 动态链接库的区别
NET 程序集是包含 IL 代码的托管程序集,而 C/C++ 编译的 DLL 是操作系统直接运行的本地模块。清单记录了当前程序集正常运行所需的所有外部程序集、程序集的版本号、版权信息等等。文件,无论是在使用类库、调用系统 API,还是在安全研究、逆向分析中,DLL 都是一个不可绕过的重要组成部分。接着是当前程序集本身的信息,记录了程序集本身的各种特征,如版本号、模块名称等。文件,但从内容结构到运行方式,.NET 程序集和 C/C++ 动态链接库是完全不同的两种东西。工具打开的程序集的目录树中,双击。
2025-04-15 08:30:00
852
原创 .NET 通过五步调用API实现关闭Windows Defender
Windows Defender最早于2006年作为一款反间谍软件工具发布,后来逐步演变成一款全功能的反恶意软件解决方案。在Windows 8及其之后的版本中,Windows Defender被整合为操作系统的默认安全防护软件。Windows Defender能够检测和防护各种类型的恶意软件,包括病毒、间谍软件、特洛伊木马、蠕虫、勒索软件等。通过定期更新的病毒定义库,Windows Defender保持对新出现的威胁的最新防护能力。
2025-04-14 08:30:00
92
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人