01阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02基本介绍
Sharp4PSCommand.exe 是一款支持交互式命令的工具,可以在实际应用中替代传统的 cmd.exe。
03使用方法
该工具允许用户通过命令行直接执行 Windows 命令,提升了命令行操作的灵活性和便捷性。其基本用法示例为 Sharp4PSCommand.exe "tasklist",该命令可以显示当前运行的任务列表。
04原理解析
Sharp4PSCommand.exe 的核心在于对 Windows 文件和资源的操作,尤其是对 PE格式的修改和证书的处理。以下是工具实现中的几个重要功能
public static void alterFile(string path, string pos = "108", string chars = "l")
{try{using (FileStream stream = new FileStream(path, FileMode.Open, FileAccess.ReadWrite)){int offset = Convert.ToInt32(pos);for (int i = 0; i < chars.Length; i++){stream.Position = (long)(offset + i);stream.WriteByte(Convert.ToByte(chars[i]));}}}catch (Exception ex){Console.WriteLine(ex.Message + "\n");}
}
打开指定文件,并在给定的位置写入字符。通过调整文件的字节,可以实现对 PE 文件的篡改,进而影响其执行行为。另外UnsignFile方法用于移除可执行文件的数字签名。具体实现如下
public static void UnsignFile(string file)
{using (FileStream fs = new FileStream(file, FileMode.Open, FileAccess.ReadWrite)){UtilPS.ImageRemoveCertificate(fs.SafeFileHandle.DangerousGetHandle(), 0);fs.Close();}
}
打开文件并调用 ImageRemoveCertificate 方法,移除指定文件的签名,使其在某些安全检查中更易于通过。
另外,工具使用了 P/Invoke 来调用 Windows API,以实现对资源的更新和证书的移除。
[DllImport("Imagehlp.dll")]
public static extern bool ImageRemoveCertificate(IntPtr handle, int index);[DllImport("kernel32.dll", SetLastError = true)]
public static extern IntPtr BeginUpdateResource(string pFileName, [MarshalAs(UnmanagedType.Bool)] bool bDeleteExistingResources);[DllImport("kernel32.dll", SetLastError = true)]
public static extern bool EndUpdateResource(IntPtr hUpdate, bool fDiscard);
综上,Sharp4PSCommand.exe 是一款功能强大的工具,通过对 Windows PE 文件的操作,提供了交互式命令行体验。
05.NET安全知识库
星球文化20+个专题栏目涵盖了点、线、面、体等知识面!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
