Идея появилась давно, но вот на ее практическую реализацию, а тем более описание, времени не хватало. Были лишь какие-то заметки на полях и черновики, упорядочить которые удалось лишь несколько дней тому назад. Возможно потому, что это были действительно выходные, а не их иллюзорное представление. И вот тут-то появляется риск впасть в рассуждения на тему рабочей загруженности и прочего в этом духе, так что перейдем, пожалуй, непосредственно к делу.
Обобщенные делегаты в PowerShell — явление редкое, можно даже сказать экзотическое. А ежели говорить относительно собственного опыта, они и вовсе ни разу не встречались, что в свою очередь может создать ложное впечатление, мол, ими никто не пользуется. Можно, конечно, заложиться на почку, дескать, так оно и есть, токмо перспектива остаться без этой самой почки не очень-то радужная. Забегая наперед, отметим, что рефлексия в купе с обобщенными делегатами позволяет вызывать некоторые WinAPI функции без создания динамических сборок, тем самым, казалось бы, увеличивая уровень возможности компрометации системы за счет вызовов «нужных» функций и отсутствия «левых» сборок в текущем домене приложений, но ключевым здесь является слово «некоторые», так что дух злокодинга здесь и близко не стоял, а вот для каких-то бытовых целей описанный ниже прием вполне может сгодиться.
Как уже было сказано выше, для успешного вызова WinAPI функций наряду с обобщенными делегатами используется рефлексия — главным образом для того, чтобы, во-первых, получить указатель экспортируемой функции из указанной DLL, во-вторых, для объявления динамического метода. Для получения указателя, наша функция будет выглядеть так:
Функция ищет указатель на DLL, отображенный в адресном пространстве PowerShell и если таковой найден, возвращает его, в противном случае пытается загрузить указанную DLL и повторно найти указатель, после — извлекается адрес экспортируемой функции. Возвратом Get-ProcAddress будет массив из адреса экспортируемой функции и указателя загруженной DLL. Иными словами:
Зная, что ntdll.dll уже имеется а адресном пространстве PowerShell, заносим данные возвращаемого массива в переменные $ptr и $null. В случае же, когда DLL погружается, например:
было бы идеологически правильным освобождать эту DLL, поэтому наряду с функцией Get-ProcAddress наша базовая библиотека будет содержать еще и функцию Invoke-FreeLibrary:
Все, что остается сделать — «преобразовать» указатель функции в делегат.
Здесь также все предельно просто: получаем возвращаемый тип, типы параметров и объявляем динамический метод, из которого и создается делегат.
Оформление базовой библиотеки может выглядеть по-разному, например, в виде модуля (man about_Modules) — кто как пожелает. Мы же сфокусируемся главным образом на возможности запуска WinAPI функций как таковых.
Давайте посмотрим на следующий пример:
Импортированная в текущий сеанс, эта функция позволяет создавать жесткие ссылки:
Другой пример — дать некоторую привилегию хосту PowerShell (пусть это будет SeShutdownPrivilege):
После импорта:
Если вы заметили, в примерах выше ни разу не была использована функция Invoke-FreeLibrary. Это объясняется тем, что в адресном пространстве PowerShell и kernel32, и ntdll уже имеются. Если же нам потребовалась некая функция, скажем, из msi.dll, то код бы пришлось дополнить так:
Таким образом — с помощью рефлексии и обобщенных делегатов — можно вызывать некоторые WinAPI функции.
Обобщенные делегаты в PowerShell — явление редкое, можно даже сказать экзотическое. А ежели говорить относительно собственного опыта, они и вовсе ни разу не встречались, что в свою очередь может создать ложное впечатление, мол, ими никто не пользуется. Можно, конечно, заложиться на почку, дескать, так оно и есть, токмо перспектива остаться без этой самой почки не очень-то радужная. Забегая наперед, отметим, что рефлексия в купе с обобщенными делегатами позволяет вызывать некоторые WinAPI функции без создания динамических сборок, тем самым, казалось бы, увеличивая уровень возможности компрометации системы за счет вызовов «нужных» функций и отсутствия «левых» сборок в текущем домене приложений, но ключевым здесь является слово «некоторые», так что дух злокодинга здесь и близко не стоял, а вот для каких-то бытовых целей описанный ниже прием вполне может сгодиться.
Создание базовой библиотеки
Как уже было сказано выше, для успешного вызова WinAPI функций наряду с обобщенными делегатами используется рефлексия — главным образом для того, чтобы, во-первых, получить указатель экспортируемой функции из указанной DLL, во-вторых, для объявления динамического метода. Для получения указателя, наша функция будет выглядеть так:
function Get-ProcAddress {
param(
[Parameter(Mandatory=$true, Position=0)]
[ValidateNotNullOrEmpty()]
[String]$Module,
[Parameter(Mandatory=$true, Position=1)]
[ValidateNotNullOrEmpty()]
[String]$Function
)
[Data.Rule].Assembly.GetType(
'System.Data.Common.SafeNativeMethods'
).GetMethods(
[Reflection.BindingFlags]40
) | Where-Object {
$_.Name -cmatch '\AGet(ProcA|ModuleH)'
} | ForEach-Object {
Set-Variable $_.Name $_
}
if (($ptr = $GetModuleHandle.Invoke(
$null, @($Module)
)) -eq [IntPtr]::Zero) {
if (($mod = [Regex].Assembly.GetType(
'Microsoft.Win32.SafeNativeMethods'
).GetMethod('LoadLibrary').Invoke(
$null, @($Module)
)) -eq [IntPtr]::Zero) {
Write-Warning "$([PSObject].Assembly.GetType(
'Microsoft.PowerShell.Commands.Internal.Win32Native'
).GetMethod(
'GetMessage', [Reflection.BindingFlags]40
).Invoke($null, @(
[Runtime.InteropServices.Marshal]::GetLastWin32Error()
)))"
break
}
$ptr = $GetModuleHandle.Invoke($null, @($Module))
}
$GetProcAddress.Invoke($null, @($ptr, $Function)), $mod
}
Функция ищет указатель на DLL, отображенный в адресном пространстве PowerShell и если таковой найден, возвращает его, в противном случае пытается загрузить указанную DLL и повторно найти указатель, после — извлекается адрес экспортируемой функции. Возвратом Get-ProcAddress будет массив из адреса экспортируемой функции и указателя загруженной DLL. Иными словами:
$ptr, $null = Get-ProcAddress ntdll NtQuerySystemInformation
Зная, что ntdll.dll уже имеется а адресном пространстве PowerShell, заносим данные возвращаемого массива в переменные $ptr и $null. В случае же, когда DLL погружается, например:
$ptr, $mod = Get-ProcAddress msi MsiEnumProductsA
было бы идеологически правильным освобождать эту DLL, поэтому наряду с функцией Get-ProcAddress наша базовая библиотека будет содержать еще и функцию Invoke-FreeLibrary:
function Invoke-FreeLibrary {
param(
[Parameter(Mandatory=$true)]
[IntPtr]$ModuleHandle
)
[Linq.Enumerable].Assembly.GetType(
'Microsoft.Win32.UnsafeNativeMethods'
).GetMethod(
'FreeLibrary', [Reflection.BindingFlags]40
).Invoke($null, @($ModuleHandle)) | Out-Null
}
Все, что остается сделать — «преобразовать» указатель функции в делегат.
function Set-Delegate {
param(
[Parameter(Mandatory=$true, Position=0)]
[ValidateScript({$_ -ne [IntPtr]::Zero})]
[IntPtr]$ProcAddress,
[Parameter(Mandatory=$true, Position=1)]
[ValidateNotNullOrEmpty()]
[String]$Delegate
)
$proto = Invoke-Expression $Delegate
$method = $proto.GetMethod('Invoke')
$returntype = $method.ReturnType
$paramtypes = $method.GetParameters() |
Select-Object -ExpandProperty ParameterType
$holder = New-Object Reflection.Emit.DynamicMethod(
'Invoke', $returntype, $paramtypes, $proto
)
$il = $holder.GetILGenerator()
0..($paramtypes.Length - 1) | ForEach-Object {
$il.Emit([Reflection.Emit.OpCodes]::Ldarg, $_)
}
switch ([IntPtr]::Size) {
4 { $il.Emit([Reflection.Emit.OpCodes]::Ldc_I4, $ProcAddress.ToInt32()) }
8 { $il.Emit([Reflection.Emit.OpCodes]::Ldc_I8, $ProcAddress.ToInt64()) }
}
$il.EmitCalli(
[Reflection.Emit.OpCodes]::Calli,
[Runtime.InteropServices.CallingConvention]::StdCall,
$returntype, $paramtypes
)
$il.Emit([Reflection.Emit.OpCodes]::Ret)
$holder.CreateDelegate($proto)
}
Здесь также все предельно просто: получаем возвращаемый тип, типы параметров и объявляем динамический метод, из которого и создается делегат.
Собираем в единое целое
Оформление базовой библиотеки может выглядеть по-разному, например, в виде модуля (man about_Modules) — кто как пожелает. Мы же сфокусируемся главным образом на возможности запуска WinAPI функций как таковых.
Давайте посмотрим на следующий пример:
function New-HardLink {
param(
[Parameter(Mandatory=$true, Position=0)]
[ValidateScript({Test-Path $_})]
[ValidateNotNullOrEmpty()]
[String]$Source,
[Parameter(Mandatory=$true, Position=1)]
[ValidateNotNullOrEmpty()]
[String]$Destination
)
begin {
$ptr, $null = Get-ProcAddress kernel32 CreateHardLinkA
$CreateHardLink = Set-Delegate $ptr '[Func[String, String, IntPtr, Boolean]]'
$Source = Resolve-Path $Source
}
process {
$CreateHardLink.Invoke($Destination, $Source, [IntPtr]::Zero)
}
end {}
}
Импортированная в текущий сеанс, эта функция позволяет создавать жесткие ссылки:
PS E:\Users\greg\Documents> New-HardLink .\habrapost.txt E:\temp\post.txt
Другой пример — дать некоторую привилегию хосту PowerShell (пусть это будет SeShutdownPrivilege):
function Set-Privilege {
param(
[Parameter(Position=0)]
[ValidateRange(2, 35)]
[UInt32]$Privilege = 19, #SeShutdownPrivilege
[Parameter(Position=1)]
[Switch]$Enable = $true
)
begin {
$ptr, $null = Get-ProcAddress ntdll RtlAdjustPrivilege
$RtlAdjustPrivilege = Set-Delegate $ptr `
'[Action[UInt32, Boolean, Boolean, Text.StringBuilder]]'
$ret = New-Object Text.StringBuilder
}
process {
$RtlAdjustPrivilege.Invoke($Privilege, $Enable, $false, $ret)
}
end {}
}
После импорта:
#дали привилегию
PS E:\> Set-Privilege
#забрали
PS E:\> Set-Privilege 19 $false
Подводя итоги
Если вы заметили, в примерах выше ни разу не была использована функция Invoke-FreeLibrary. Это объясняется тем, что в адресном пространстве PowerShell и kernel32, и ntdll уже имеются. Если же нам потребовалась некая функция, скажем, из msi.dll, то код бы пришлось дополнить так:
$ptr, $mod = Get-ProcAddress msi MsiEnumProductsA
$MsiEnumProducts = Set-Delegate $ptr '[Func[Int32, Text.StringBuilder, Int32]]'
#некий полезный код
...
Invoke-FreeLibrary $mod
Таким образом — с помощью рефлексии и обобщенных делегатов — можно вызывать некоторые WinAPI функции.
Поделиться с друзьями
beatcracker
Оно? www.exploit-monday.com/2012/05/accessing-native-windows-api-in.html