CLR

在之前某次渗透测试中,发现一个ASP.NET的站点,通过数据库权限提权拿下系统之后发现站点的密码是经过几次编码和不可逆加密算法存储的。
Microsoft SQL Server 2005之后,实现了对 Microsoft .NET Framework 的公共语言运行时(CLR)的集成。
在本文中,我们将研究防御方如何利用.NET Usage Log进行恶意行为检测及安全取证响应,也会分析规避日志监控探测的方法,讨论捕捉Usage Log篡改行为的潜在方式。
通过使用自定义的CLR harness,我们可以将其调整到最适合当前场景的状态,比如可以禁用System.Management.Automation的Tracing.PSEtwLogProvider或AmsiUtils之类的功能。