标题：利用Meterpreter执行.NET程序：Execute assembly via Meterpreter session详解

标题：利用Meterpreter执行.NET程序：Execute assembly via Meterpreter session详解

项目介绍

Execute assembly via Meterpreter session 是一个定制的Metasploit后渗透模块，专为从Meterpreter会话中执行.NET程序设计。该项目针对的是64位Windows 10系统以及.NET 4.0框架，并兼容Metasploit Framework 5。它通过反射式DLL注入方法在目标进程中加载HostingCLRx64.dll，并在内存中运行.NET程序集，同时还提供了绕过AMSIScanner和事件跟踪日志（ETW）的功能。

项目技术分析

该模块首先创建或选择一个进程（可以通过PID参数指定），然后采用反射DLL注入技术将HostingCLRx64.dll插入到进程中。这个无管理的注入DLL负责检查目标进程是否已经加载了CLR，并在必要时进行加载。CLR版本的确定是通过对提供的程序集进行解析，寻找特定的签名。为了防止被AMSIScanner检测到，项目采用了AmsiScanBuffer补丁技术来规避安全检查。此外，如果开启ETWBYPASS选项，模块还会尝试绕过事件追踪日志，以提高隐蔽性。

应用场景

对于渗透测试人员和红队操作者来说，这个模块可以在渗透测试过程中非常方便地执行自定义的.NET代码，无需在目标机器上安装.NET框架。例如，你可以利用这个工具在已有的Meterpreter会话中执行各种攻击向量，如提权、信息收集、横向移动等。此外，由于其动态加载和执行的特性，还能避免在目标系统留下持久化痕迹。

项目特点

1. 兼容性：支持Windows 10 64位操作系统和.NET 4.0框架。
2. 灵活性：可以注入到已存在的进程，也可以创建新进程执行.NET程序集。
3. 安全性：提供Amsi和Etw的绕过策略，降低被检测的可能性。
4. 便利性：只需设置几个模块选项即可轻松执行.NET程序，无需复杂的配置。
5. 控制性：可以选择在任务完成后杀掉注入的进程，以保持清洁的操作环境。

安装和使用都非常简单，只需要按照README中的步骤将模块文件复制到相应目录，然后在Metasploit会话中设置参数并执行即可。

如果你在渗透测试中需要执行.NET程序，或者想要探索更多高级的渗透技巧，Execute assembly via Meterpreter session无疑是一个值得尝试的开源项目。详细的技术分析和使用说明可以参考作者的博客文章：Execute assembly via Meterpreter session 和 Execute assembly via Meterpreter session - Part 2。