GadgetToJScript利用率分析

0x00 前言

Gadtojscript可以封装。Net程序的js或vbs脚本。Gadtojscript与詹姆斯福肖开源的DotNetToJScript相比，修改了反序列化调用链，绕过了AMSI，增加了绕过的功能。Net 4.8到block组件。负荷

本文用于记录研究细节，分析利用思路，简单修改原项目，方便测试有效载荷，分享与SILENTTRINITY结合的方法。

0x01 简介

本文将介绍以下内容：

GadgetToJScript的代码分析和实现逻辑

为了测试有效载荷的修改方法

利用率分析

与沉默三位一体相结合的方法

0x02 GadgetToJScript的代码分析和实现逻辑

1.代码分析

(1)templates文件夹

用js、vbs和hta保存模板

模板文件基本上与DotNetToJScript相同，但有以下区别：

增加了一些对版本的判断。Net，读取注册表HKLM \ \软件\ \微软\ \ NET Framework \ \ v4.0.30319 \ \，如果成功，则版本为4.0.30319，否则为2.0.50727。

反序列化进行了两次。第一次是禁用ActivitySurrogateSelector的类型检查，它用于绕过。Net 4.8到block组件。加载，第二次用来加载。Net程序。

(2)Program.cs

主程序替换模板中的变量，计算长度，生成最终的js、vbs和hta脚本。

(3)TestAssemblyLoader.cs

Payload保存为字符串，使用CompileAssemblyFromSource动态编译，编译结果保存在内存中(results。已编译的程序集)。

关键功能：CompileAssemblyFromSource

其中，GenerateInMemory属性的默认值为true，表示CompiledAssembly保存在内存中，可以通过CompilerResults实例的CompiledAssembly获取。如果设置为false，编译后的程序集可以保存在本地硬盘上。

参考资料：

https://docs . Microsoft . com/en-us/dot net/API/system . codedom . compiler . codedom provider . compile assembly from source？view=netframework-4.8

(4)_ASurrogateGadgetGenerator.cs

构建一个映射字节数组的链来创建类的实例：

byte[] -程序集。装载-装配-装配。GetType - Type[] - Activator。创建实例-赢！

此代码应来自：https://github . com/pwntester/yso serial . net/blob/master/yso serial/generators/activity surrogate selector generator . cs # L50

可以理解为TestAssemblyLoader.cs的实现将编译后的结果保存在内存中(results。CompiledAssembly)，而_ASurrogateGadgetGenerator.cs用于读取此内存并实现对。Net程序。

(5)_DisableTypeCheckGadgetGenerator.cs

用于绕过的功能。Net 4.8到block组件。负荷

请参考：

https://silentbreaksecurity . com/re-animated-activitysurrogateselector/

(6)_SurrogateSelector.cs

创建一个充当包装的代理类。

此代码应来自：https://github . com/pwntester/ysoserial . net/blob/bb 695 b 8162 BDC 1d 191 c 32 f 6 a 234 a8ff 5665 ab9b/ysoserial/generators/activitysurrogateselector generator . cs # l15

2.实现逻辑

执行TestAssemblyLoader.cs以字符串形式动态编译有效载荷，并将编译结果保存在内存中(results。已编译的程序集)。

execute _ asurrogategadgetgenerator . cs读取1中的内存，实现对的调用。Net程序。

execute _ disabletypecheckgadgetgenerator . cs实现绕过的功能。Net 4.8到block组件。负荷

执行Program.cs，替换模板文件的两个变量，计算长度，生成最终的js、vbs、hta脚本。

0x03 为了便于测试Payload的修改方法

检查文件TestAssemblyLoader.cs Payload是否以字符串形式保存，内容如下：

string _testClass=@ '

使用系统；

使用系统。Runtime . InteropServices

公共类TestClass

{

'[DllImport('User32.dll '，CharSet=CharSet。Unicode)]'

@ ' public static extern int MessageBox(int ptr h，string m，string c，int t)；

public TestClass(){

' ' MessageBox((IntPtr)0，'测试。已调用. NET程序集构造函数。‘库里奥’，0)；'

@'}

}

；

我们可以看到，当有效载荷保存为字符串时，要考虑转义字符，这会影响有效载荷的开发效率，而且不是很直观。

下面是我的解决方案：将CompileAssemblyFromSource改为CompileAssemblyFromFile。

这样，你就可以从文件中读取有效载荷，而不再需要考虑转义字符。

我的修改版本已经上传到github，地址如下：

https://github.com/3gstudent/GadgetToJScript

我的版本修改TestAssemblyLoader.cs，关键代码如下：

编译器结果结果=提供程序。CompileAssemblyFromFile(参数，' payload . txt ')；

从固定文件payload.txt中读取有效负载

如果想实现和原项目一样的功能，payload.txt的内容如下：

使用系统；

使用系统。Runtime . InteropServices

公共类TestClass

{

[DllImport('User32.dll '，CharSet=CharSet。unicode)]public static extern int MessageBox(int ptr h，string m，string c，int t)；

公共测试类()

{

MessageBox((IntPtr)0，' Test。已调用. NET程序集构造函数。‘库里奥’，0)；

}

}

Payload看起来更直观，也更容易开发。

0x04 利用分析

GadgetToJScript应该被看作是詹姆斯福肖的开源DotNetToJScript的进一步利用。添加的反序列化调用链不需要调用d.dynamicconvoke (al.toarray())。CreateInstance (entry _ class)，可以绕过某些杀毒软件对特定代码的检测。你可以试着用这个作为进一步开发的模板。

为了有效载荷的进一步利用，需要改成csharp格式，这让我想起了SILENTTRINITY。

0x05 同SILENTTRINITY结合的方法

关于SILENTTRINITY，我在之前的文章《SILENTTRINITY利用分析》里做了分析。

注：

SILENTTRINITY在不断更新，增加更多功能，我的文章内容可能不再准确。

设置SILENTTRINITY后，选择stager生成csharp格式。该命令如下所示：

舞台演员

目录

使用csharp

生成http

从stager.cs中提取代码，填入payload.txt，最终的样本代码已经上传到github，地址如下：https://github . com/3g student/gadgettojscript/blob/master/payload . txt。

编译我修改过的GadgetTojscript，将payload.txt保存在同一个目录下。生成JS脚本的命令如下：

GadgetToJScript.exe-w js-o 1

1.js生成

1.执行1.js后，SILENTTRINITY获取在线信息，进程名为wscript，如下图所示

测试成功。

0x06 小结

本文介绍了GadgetToJScript的代码细节和实现过程，对原项目进行了简单的修改，使有效载荷的测试更加容易，分析了利用思路，分享了与SILENTTRINITY结合的方法。

留下回复