.NET安全攻防指南

内容简介 这是一本系统、深度讲解.NET安全技术原理和攻防实操的著作。全书分为上、下两册，全面覆盖.NET安全领域的关键知识点。 上册主要介绍了.NET Web安全审计的精髓，从.NET安全基础讲起，逐步深入到高级攻防技巧，内容涵盖Web安全审计的流程、工具与技巧，帮助读者有效识别并修复漏洞，深入理解.NET平台下的安全对抗方法。 下册则揭秘了.NET逆向工程与实战对抗秘籍，包括免杀技术、内存马技术、Windows安全、实战对抗等多个关键维度。通过深入浅出的讲解与丰富的实战案例，读者将掌握应对各种安全威胁的实战技能，加强逆向工程分析能力，并深入了解Windows系统安全机制与.NET的相互操作。 通过阅读本书，你将收获： ?深入理解.NET安全：从架构到上层应用，全面剖析.NET潜在威胁。 ?精通.NET代码审计：学习代码审计的流程、工具与技巧，有效识别并修复漏洞。 ?Web免杀技术揭秘：了解如何绕过安全检测，提升防护设备精准识别风险的能力。 ?内存马技术探索：揭开内存马技术的神秘面纱，了解在.NET环境中的应用场景。 ?红队渗透测试：模拟黑客攻击路径，进行红队渗透测试，提高防御与应急响应能力。 ?逆向工程实战演练：深入剖析恶意软件的行为模式，加强逆向工程分析能力。 ?Windows安全技术：深入了解Windows系统安全机制，学习如何与.NET相互操作。 无论你是安全初学者，还是希望进一步提升技能的资深从业者，本书都将是你不可或缺的宝贵资源。

李寅（Ivan1ee），资深安全专家，某科技大厂安全实验室负责人，现从事企业信息安全建设相关的工作，拥有10余年信息安全工作经验，曾在国内多家知名安全企业和一线互联网大厂担任高级研究员和Team Leader。<br />工作之余，持续跟踪并深入研究微软.NET安全领域的最新动态与技术趋势，创办的dot.Net安全矩阵公众号和知识星球已成为国内最专业的.NET安全技术分享和交流平台，不仅汇聚了众多热爱.NET技术的安全从业者，还通过持续分享高质量的.NET安全知识，对行业产生了积极而深远的影响。<br />莫书棋，资深安全专家，多年的信息安全领域工作经验，曾在多家头部互联网企业的安全部门任职。在红蓝对抗、高级威胁入侵检测与防御、以及企业级安全体系规划与建设等领域有深入研究。

Contents?目　　录<br />序1<br />序2<br />序3<br />前言<br />第18章　.NET逆向工程及调试　1<br />18.1　反编译工具　1<br />18.1.1　JustDecompile　1<br />18.1.2　dnSpy　3<br />18.1.3　ILSpy　10<br />18.1.4　Reflexil　10<br />18.1.5　对象浏览器　13<br />18.1.6　JustAssembly　14<br />18.1.7　ildasm　16<br />18.2　混淆与加壳　17<br />18.2.1　ConfuserEx　17<br />18.2.2　Dotfuscator　20<br />18.2.3　VMProtect　25<br />18.3　反混淆与脱壳　28<br />18.3.1　DIE查壳工具　28<br />18.3.2　de4dot反混淆　28<br />18.4　文件打包发布　35<br />18.4.1　Costura.Fody　35<br />18.4.2　ILMerge　38<br />18.5　Process Hacker　41<br />18.6　小结　43<br />第19章　.NET与Windows安全基础　44<br />19.1　Windows常用工具　44<br />19.1.1　WinDbg调试器　44<br />19.1.2　dumpbin命令行工具　46<br />19.1.3　DLL Export Viewer函数查<br />看器　47<br />19.1.4　pestudio静态分析工具　50<br />19.2　Windows系统基础　52<br />19.2.1　动态链接库　52<br />19.2.2　IntPtr结构体　53<br />19.2.3　进程环境块　54<br />19.2.4　DllImport特性　54<br />19.2.5　Marshal类　55<br />19.2.6　ANSI和Unicode字符集　56<br />19.2.7　Type.GetTypeFromCLSID<br />方法　57<br />19.2.8　CreateProcess函数　58<br />19.2.9　OpenProcess函数　58<br />19.2.10　VirtualAllocEx函数　59<br />19.2.11　CreateRemoteThread<br />函数　59<br />19.2.12　WriteProcessMemory<br />函数　60<br />19.2.13　ShellCode代码　61<br />19.3　.NET应用程序域　61<br />19.3.1　基础知识　61<br />19.3.2　基本用法　63<br />19.4　Windows平台互操作调用　70<br />19.4.1　PInvoke交互技术　70<br />19.4.2　DInvoke交互技术　70<br />19.4.3　SysCall核心解析　71<br />19.4.4　PELoader加载非托管程序　78<br />19.4.5　跨语言调用.NET程序集　82<br />19.4.6　NativeAOT编译技术　86<br />19.5　编码与加解密算法　90<br />19.5.1　Base64编码　90<br />19.5.2　通用唯一标识符　91<br />19.5.3　凯撒密码算法　95<br />19.5.4　AES加密算法　96<br />19.5.5　异或运算　98<br />19.5.6　RC4加密算法　100<br />19.5.7　DES加密算法　103<br />19.6　小结　104<br />第20章　.NET与Windows安全攻防　105<br />20.1　Windows自启动技术　105<br />20.1.1　启动目录　105<br />20.1.2　注册表　106<br />20.1.3　计划任务　108<br />20.2　Windows注入技术　110<br />20.2.1　线程池等待对象线程注入　110<br />20.2.2　纤程注入本地进程　111<br />20.2.3　APC注入系统进程　113<br />20.2.4　Early Bird注入系统进程　115<br />20.2.5　Windows远程线程注入　116<br />20.2.6　NtCreateThreadEx高级<br />远程线程注入　118<br />20.2.7　突破SESSION 0隔离的<br />远程线程注入　120<br />20.3　Windows API创建进程　122<br />20.3.1　CreateProcess　122<br />20.3.2　ShellExec_RunDLL　123<br />20.3.3　RouteTheCall　124<br />20.3.4　ShellExecute　125<br />20.3.5　LoadLibrary与<br />LoadLibraryEx　126<br />20.3.6　WinExec　127<br />20.3.7　LdrLoadDll　128<br />20.4　Windows API回调函数　129<br />20.4.1　CallWindowProcW　129<br />20.4.2　CertEnumSystemStore<br />Location　130<br />20.4.3　CreateFiber　130<br />20.4.4　CopyFile2　132<br />20.4.5　CreateTimerQueueTimer　133<br />20.5　Windows COM组件技术　133<br />20.5.1　XMLDOM　134<br />20.5.2　MMC20.Application　136<br />20.5.3　ShellWindows　137<br />20.5.4　Shell.Application　139<br />20.5.5　WScript.Shell　140<br />20.5.6　ShellBrowserWindow　142<br />20.6　Windows提权技术　144<br />20.6.1　提升进程令牌权限　144<br />20.6.2　UAC绕过　146<br />20.6.3　系统服务权限提升　148<br />20.7　Windows隐藏技术　152<br />20.7.1　傀儡进程　152<br />20.7.2　线程劫持　155<br />20.7.3　父进程欺骗　157<br />20.7.4　文件映射　161<br />20.8　Windows功能技术　162<br />20.8.1　隐藏控制台窗口　162<br />20.8.2　键盘记录　164<br />20.8.3　屏幕截图　166<br />20.8.4　模拟管道交互　168<br />20.8.5　读取用户凭据　170<br />20.8.6　端口转发　172<br />20.8.7　创建系统账户　174<br />20.8.8　进程遍历　175<br />20.8.9　通信传输数据　178<br />20.9　小结　180<br />第21章　.NET Web免杀技术　181<br />21.1　Unicode编码　181<br />21.1.1　基础概念　181<br />21.1.2　非可见控制字符　184<br />21.2　WMI对象　188<br />21.2.1　基础知识　188<br />21.2.2　Win32_Process启动进程　189<br />21.2.3　ManagementBaseObject<br />启动进程　191<br />21.3　XSLT工具　191<br />21.3.1　使用XslCompiledTransform.Load方法执行XSLT　192<br />21.3.2　使用Microsoft.XMLDOM.transformNode方法执行<br />XSLT　194<br />21.4　表达式树　196<br />21.5　LINQ技术　197<br />21.5.1　加载本地程序集　197<br />21.5.2　加载字节码　199<br />21.6　反射　200<br />21.6.1　HttpContext类　200<br />21.6.2　Assembly类　201<br />21.6.3　Activator类　203<br />21.7　跨语言执行　205<br />21.8　回调函数　206<br />21.9　特殊符号和别名　206<br />21.9.1　逐字字符串　207<br />21.9.2　内联注释符　207<br />21.9.3　命名空间别名　208<br />21.10　解析XAML内容　208<br />21.10.1　XamlReader对象　208<br />21.10.2　XamlServices类　211<br />21.11　任意调用对象　212<br />21.12　动态编译　213<br />21.13　文件包含图片马　215<br />21.14　对象标记　217<br />21.15　数据绑定　219<br />21.16　IL动态生成技术　220<br />21.17　小结　221<br />第22章　.NET内存马技术　222<br />22.1　虚拟路径型内存马技术　222<br />22.1.1　VirtualFile类　222<br />22.1.2　VirtualDirectory类　226<br />22.2　过滤器型内存马技术　228<br />22.2.1　认证过滤器　228<br />22.2.2　授权过滤器　232<br />22.2.3　动作过滤器　236<br />22.2.4　异常过滤器　239<br />22.3　路由型内存马技术　242<br />22.3.1　GetRouteData方法　242<br />22.3.2　IRouteHandler接口　244<br />22.3.3　UrlRoutingHandler类　248<br />22.3.4　IControllerFactory接口　250<br />22.4　监听器型内存马技术　253<br />22.4.1　HttpListener类　253<br />22.4.2　TCPListener类　255<br />22.4.3　UDPListener类　257<br />22.5　小结　258<br />第23章　.NET开源组件漏洞　259<br />23.1　开源组件包漏洞　259<br />23.1.1　.NET Core CLI工具　259<br />23.1.2　NuGet披露的漏洞信息　260<br />23.1.3　GitHub安全公告　263<br />23.2　AjaxPro.NET反序列化漏洞　263<br />23.3　Json.NET反序列化漏洞　269<br />23.3.1　ObjectInstance属性　270<br />23.3.2　ObjectType属性　278<br />23.4　Newtonsoft.Json拒绝服务漏洞　280<br />23.5　YamlDotNet反序列化漏洞　282<br />23.6　SharpSerializer反序列化漏洞　287<br />23.7　MessagePack反序列化漏洞　293<br />23.8　fastJSON反序列化漏洞　301<br />23.9　ActiveMQ反序列化漏洞　306<br />23.10　AWSSDK反序列化漏洞　314<br />23.11　gRPC反序列化漏洞　317<br />23.12　MongoDB反序列化漏洞　319<br />23.13　Xunit1Executor反序列化漏洞　322<br />23.14　UEditor编辑器任意文件上传<br />漏洞　325<br />23.15　修复建议　330<br />23.16　小结　330<br />第24章　.NET企业级应用漏洞分析　331<br />24.1　某通软件任意文件上传漏洞　331<br />24.2　CVE-2020-0605 XPS漏洞分析　336<br />24.3　Windows事件查看器反序列化<br />漏洞　347<br />24.4　Exchange ProxyLogon漏洞　351<br />24.4.1　CVE-2021-27065 任意文件<br />写入漏洞　351<br />24.4.2　CVE-2021-26855 SSRF<br />漏洞　354<br />24.5　小结　360<br />第25章　.NET攻防对抗实战　361<br />25.1　外网边界突破　361<br />25.1.1　SQL注入数据类型转换<br />绕过　361<br />25.1.2　SQL注入绕过正则<br />表达式　363<br />25.1.3　使用SharpSQLTools注入<br />工具　365<br />25.1.4　文件上传绕过客户端JavaScript　368<br />25.1.5　文件上传绕过MIME<br />类型　369<br />25.1.6　文件上传绕过黑名单　370<br />25.1.7　文件上传绕过伪造文件头　374<br />25.1.8　文件上传绕过检测<script><br />关键字　376<br />25.1.9　文件上传.cshtml绕过<br />黑名单　377<br />25.1.10　文件上传.soap绕过<br />黑名单　381<br />25.1.11　文件上传.svc绕过<br />黑名单　382<br />25.1.12　上传.xamlx文件实现<br />RCE　386<br />25.1.13　上传Web.config文件实现RCE　392<br />25.1.14　Web服务文件上传漏洞　397<br />25.1.15　上传Resx文件实现<br />RCE　401<br />25.1.16　文件上传绕过预编译<br />场景　406<br />25.1.17　.NET Core MVC突破<br />上传实现RCE　412<br />25.1.18　绕过.NET信任级别限制<br />实现RCE　419<br />25.1.19　上传HTML文件的瞬间<br />关闭.NET站点　421<br />25.1.20　文件上传绕过WAF　422<br />25.1.21　文件上传改造报文绕过<br />WAF　424<br />25.1.22　Visual Studio 钓鱼攻击　424<br />25.2　内网信息收集　427<br />25.2.1　.NET本地连接Oracle<br />数据库　427<br />25.2.2　.NET解密Web.config　430<br />25.2.3　获取本地主机敏感信息　434<br />25.2.4　获取补丁及反病毒软件<br />对比工具　437<br />25.2.5　获取远程桌面连接记录　438<br />25.2.6　获取本地浏览器密码　439<br />25.2.7　读取本地软件密码　440<br />25.2.8　获取剪贴板历史数据　440<br />25.2.9　获取本地所有Wi-Fi连接<br />数据　441<br />25.2.10　获取系统用户凭据　441<br />25.2.11　主机存活扫描探测　445<br />25.2.12　一键获取主机敏感信息　446<br />25.2.13　获取域环境下的敏感<br />信息　448<br />25.2.14　获取域环境下的GPO<br />配置文件信息　449<br />25.2.15　搜索本地Office包含的<br />敏感信息　450<br />25.3　安全防御绕过　451<br />25.3.1　不再依赖系统的<br />PowerShell.exe　451<br />25.3.2　混淆器YAO　452<br />25.3.3　Windows API执行<br />ShellCode　453<br />25.3.4　ShellCode加载器HanzoInjection　454<br />25.3.5　使用MSBuild.exe执行<br />.NET代码　455<br />25.3.6　利用UUID加载<br />ShellCode　457<br />25.3.7　.NET代码转换成JavaScript<br />脚本　459<br />25.3.8　.NET环境加载任意PE<br />文件　460<br />25.3.9　运行脚本触发.NET反<br />序列化　462<br />25.3.10　通过Regsvcs.exe实现ShellCode加载　463<br />25.3.11　通过Regasm.exe实现ShellCode加载　466<br />25.3.12　通过InstallUtil.exe实现ShellCode加载　467<br />25.3.13　SharpCradle内存加载.NET文件　469<br />25.3.14　将.NET程序集转换为ShellCode　470<br />25.3.15　调用Rundll32.exe执行<br />.NET程序集　472<br />25.3.16　通过RunPE.exe执行非<br />托管二进制文件　476<br />25.3.17　利用SharpReflectivePEInjection绕过EDR　476<br />25.4　本地权限提升　477<br />25.4.1　利用SeImpersonatePrivilege<br />实现权限提升　477<br />25.4.2　利用Windows本地服务实现权限提升　478<br />25.4.3　利用系统远程协议实现权限<br />提升　480<br />25.4.4　利用DCOM组件实现权限<br />提升　480<br />25.4.5　利用PrintNotify服务实现<br />权限提升　481<br />25.4.6　利用PPID欺骗实现权限<br />提升　482<br />25.4.7　通过获取系统进程访问<br />令牌实现权限提升　482<br />25.4.8　利用Tokenvator.exe模拟访问令牌实现权限提升　484<br />25.4.9　利用SharpImpersonation.exe实现权限提升　486<br />25.5　内网代理通道　488<br />25.5.1　使用Neo-reGeorg搭建<br />代理通道　488<br />25.5.2　使用Tunna搭建代理<br />通道　492<br />25.5.3　使用ABPTTS搭建代理<br />通道　493<br />25.5.4　利用Sharp4TranPort.exe<br />进行端口转发　495<br />25.6　内网横向移动　495<br />25.6.1　利用WMIcmd.exe实现<br />横向移动　495<br />25.6.2　利用WMEye.exe实现<br />横向移动　497<br />25.6.3　利用SharpWMI.exe实现<br />横向移动　498<br />25.6.4　利用CSExec实现横向<br />移动　500<br />25.6.5　利用SharpNoPSExec.exe<br />实现横向移动　501<br />25.6.6　利用SharpSploitConsole.exe<br />实现横向移动　502<br />25.6.7　利用SharpMove.exe实现<br />横向移动　503<br />25.7　目标权限维持　504<br />25.7.1　配置DataSet反序列化<br />漏洞　504<br />25.7.2　利用Handler实现.dll<br />后门　507<br />25.7.3　利用Windows计划任务　515<br />25.7.4　创建Windows系统隐藏<br />账户　517<br />25.7.5　克隆Windows管理员权限的影子账户　517<br />25.7.6　利用Windows API注入<br />系统进程　518<br />25.7.7　通过AppDomainManager<br />劫持.NET应用　520<br />25.7.8　利用SharPersist实现权限<br />维持　525<br />25.7.9　反序列化连接TCPListener<br />内存马　526<br />25.7.10　利用虚拟技术访问压缩包<br />中的WebShell　529<br />25.8　数据传输外发　534<br />25.9　小结　535