「SharpC2学习」EXE载荷生成流程-阿里云开发者社区

「SharpC2学习」EXE载荷生成流程

2023-10-07 404

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 「SharpC2学习」EXE载荷生成流程

SharpC2中EXE格式的Payload生成学习记录，shellcode的也差不多，多使用了个donut，记个笔记，写的比较潦草。

在MAC中的VS启动Teamserver，使用其自带的swagger进行调试（好方便）

在调试处发起请求，在PayloadsController这个Controller中对应的处理action是GetPayload，在这下断点

39行首先获取Profile，跟过去看到是从这里取配置设置的TeamServer.Models.C2Profile

接着payload为exe格式，自然进入ExePayload()方法处理

payload类型

进入到TeamServer.Models.ExePayload中的Generate()

第一步，进入GetDroneModuleDef，调用TeamServer.Utilities中的GetEmbeddedResource

GetEmbeddedResource方法如下

大致就是获取TeamServer中的资源文件读取到内存。

然后调用.net第三方库dnlib

语句：ModuleDefMD.Load(drone);，读取模块，（只能读取.net的模块这个库）

接着对模块进行一系列操作

通过这个库给这个EXE的payload根据profile写一些设置，

这里的EmbedHandler()复杂的一笔，猜测是对应Handler的，但代码真没看懂，还望师傅赐教，

private void EmbedHandler(ModuleDef module)
        {
            // get handlers (not including the abstract)
            var handlers = module.Types
                .Where(t => t.FullName.Contains("Drone.Handlers", StringComparison.OrdinalIgnoreCase))
                .Where(t => !t.FullName.Equals("Drone.Handlers.Handler", StringComparison.OrdinalIgnoreCase));
            // match the one that matches the abstract name
            // it's actually set in the ctor of all places
            TypeDef targetHandler = null;
            foreach (var handler in handlers)
            {
                var ctor = handler.Methods.GetConstructor();
                if (ctor is null) continue;
                var instructions = ctor.Body.Instructions.Where(i => i.OpCode == OpCodes.Ldstr);
                foreach (var instruction in instructions)
                {
                    if (instruction.Operand is null) continue;
                    var operand = (string) instruction.Operand;
                    if (!operand.Equals(Handler.Name, StringComparison.OrdinalIgnoreCase)) continue;
                    targetHandler = handler;
                    break;
                }
            }
            if (targetHandler is null) throw new Exception("Could not find matching Handler");
            if (Handler.Parameters is not null)
            {
                foreach (var handlerParameter in Handler.Parameters)
                {
                    // get matching method in handler
                    var method = targetHandler.Methods.GetMethod(handlerParameter.Name);
                    var instruction = method?.Body.Instructions.FirstOrDefault(i => i.OpCode == OpCodes.Ldstr);
                    if (instruction is null) continue;
                    instruction.Operand = handlerParameter.Value;
                }
            }
            // finally, ensure that the drone is creating an instance of the correct handler
            var droneType = module.Types.GetType("Drone");
            var getHandler = droneType.Methods.GetMethod("get_GetHandler");
            getHandler.Body.Instructions[0].Operand = targetHandler.Methods.GetConstructor();
        }