Sliver框架中DLL扩展模块命令行参数传递问题解析

问题背景

在Sliver C2框架的master分支中，用户报告了一个关于DLL类型扩展模块无法正确接收命令行参数的问题。该问题表现为当通过beacon或session执行DLL扩展时（如winrm/chisel等工具），虽然命令行参数被正确指定，但实际传递到扩展模块时却变成了空值。值得注意的是，BOF类型的扩展模块不受此问题影响。

技术细节分析

现象重现

1. Beacon模式执行： 当通过beacon执行winrm -- -i dc.snaplabs.local -u user -p pass时，扩展模块输出的参数列表显示所有字段均为空值。

2. Session模式执行： 直接会话模式下执行相同命令，同样出现参数丢失现象。

根本原因

根据项目组成员的回复，这个问题与master分支引入的新扩展清单(extension manifest)机制有关。在新的架构设计中，DLL扩展模块的参数传递方式发生了变化：

1. 参数解析逻辑变更：新版本可能修改了参数解析的中间层，导致传统的参数传递方式失效。
2. 字符串处理差异：与BOF扩展相比，DLL扩展的参数处理管道可能存在差异。

临时解决方案

项目成员建议采用以下变通方法：

• 将所有参数作为单个引号包裹的字符串传递，例如：

  winrm -- "-i dc.snaplabs.local -u user -p pass -c command"
  

这种方式的本质是将所有参数合并为单个字符串参数，由扩展模块内部自行解析，从而绕过框架层的参数解析问题。

技术影响评估

该问题对渗透测试工作流会产生以下影响：

1. 操作习惯改变：测试人员需要调整参数传递方式
2. 脚本兼容性：自动化脚本可能需要相应修改
3. 功能完整性：依赖复杂参数组合的扩展模块可能暂时无法正常使用

最佳实践建议

1. 对于新开发的DLL扩展：

   • 实现内部参数解析逻辑
   • 同时兼容传统参数传递和单字符串模式

2. 对于现有扩展使用：

   • 优先使用BOF格式扩展（如不受影响）
   • 必要时采用字符串包裹方式传递参数

后续展望

这个问题预计会在后续版本中得到修复，可能涉及：

• 统一DLL和BOF扩展的参数处理逻辑
• 改进扩展清单的兼容性设计
• 提供更清晰的参数传递文档说明

安全研究人员在使用master分支时应当注意此兼容性问题，特别是在自动化攻击场景中需要做好异常处理。