最后更新于
最后更新于
这是文章的摘要。请查看获取更多详细信息!
在.NET中,调试器和被调试程序之间的通信由管理。该组件为每个.NET进程设置两个命名管道,如中所示,这些管道通过启动。这些管道的后缀为**-in
和-out
**。
通过访问用户的**$TMPDIR
**,可以找到用于调试.NET应用程序的调试FIFO。
负责管理来自调试器的通信。要启动新的调试会话,调试器必须通过以MessageHeader
结构开头的out
管道发送消息,详细信息请参阅.NET源代码:
要请求一个新会话,需要填充这个结构,将消息类型设置为 MT_SessionRequest
,将协议版本设置为当前版本:
这个标头随后使用write
系统调用发送到目标,接着是包含会话GUID的sessionRequestData
结构体:
读取out
管道上的操作确认了调试会话建立的成功或失败:
同样,可以使用writeMemory
函数来写入内存。该过程涉及将消息类型设置为MT_WriteMemory
,指定数据的地址和长度,然后发送数据:
要执行代码,需要识别具有rwx权限的内存区域,可以使用vmmap -pages来完成:
对于x64系统,可以使用签名搜索来找到libcorclr.dll
中对符号_hlpDynamicFuncTable
的引用。
MT_GetDCB
调试器函数提供了有用的信息,包括一个辅助函数的地址m_helperRemoteStartAddr
,指示了libcorclr.dll
在进程内存中的位置。然后使用这个地址来开始搜索DFT,并用shellcode的地址覆盖一个函数指针。
一旦建立了调试会话,可以使用消息类型来读取内存。readMemory函数进行了详细说明,执行了发送读取请求和检索响应的必要步骤:
完整的概念验证(POC)可以在找到。
关联的POC在。
在.NET Core中,定位要覆盖的函数指针位置是必要的,这可以通过针对**动态函数表(DFT)**来实现。这个表在中有详细说明,被运行时用于JIT编译辅助函数。
可以在找到用于注入到PowerShell的完整POC代码。