近期的网络安全事件中,某提权工具被发现植入后门,攻击者使用 .suo 文件作为隐蔽攻击媒介。由于 .suo 文件是项目的隐藏配置文件,安全研究人员很少关注它的内容。
此次攻击事件被初步判断为东南亚地区的 APT 组织------海莲花(Lotus Blossom)所为。该组织以其隐蔽性和高技术水平而闻名,常针对政府机构、军事单位和高价值目标发起精准攻击。
Sharp4SuoBrowser 是针对这种隐蔽攻击手段而开发的分析工具,尤其适合安全团队和渗透测试人员使用。通过对 .suo 文件的深入分析,该工具可以分析 Visual Studio 文件的安全性,防止类似攻击造成的进一步损害。
01Sharp4SuoBrowser 工具概述
Sharp4SuoBrowser.exe 是一款专门用于解析和查看 Visual Studio 项目用户选项文件(即 .suo 文件)内容的工具。.suo 文件主要存储用户在 Visual Studio 项目中的各种自定义设置,例如工具箱状态窗口布局和调试配置等。
通过此工具,您可以轻松列出 .suo 文件中的键名并查看指定键的具体内容,便于分析 .suo 文件内部的结构和数据。
02Sharp4SuoBrowser 工具用法
Sharp4SuoBrowser.exe 可以快速扫描 .suo 文件中的所有键,支持查看指定键名的内容,内容默认以十六进制显示。
2.1 查询所有的键名
可以使用参数 keys 获得键名,以下具体命令列出 .suo 文件中包含的所有键。
Sharp4SuoBrowser.exe keys 1.suo
2.2 查询指定键名内容
比如,若要查看键名为 VsToolboxService 的内容,可以使用以下命令,默认输出的格式为HEX,如下所示。
Sharp4SuoBrowser.exe view VsToolboxService 1.suo
如果,通过 --format=utf8 参数,将以 UTF-8 编码显示键的内容,具体命令如下所示。
Sharp4BrowserSuo.exe view VsToolboxService 1.suo --format=utf8
通常 .suo 文件存储用户的敏感信息,从图上可以看到这段内容包含了一段可以被.NET反序列化的载荷。
综上,Sharp4SuoBrowser.exe 提供了强大的功能,帮助安全研究人员深入了解和分析 .suo 文件的内容。通过其简单的命令行操作,可以快速提取关键信息,提升逆向和分析的效率。
05.NET安全星球
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
文章涉及的工具已打包,请加/入/后下/载: https://wx.zsxq.com/group/51121224455454