简介

“execute-assembly” 是 CobaltStrike 的一项功能，它允许你在 CobaltStrike 的 Beacon 控制的目标机器上直接执行 .NET 程序集（Assembly）。具体来说，这个功能通过在目标机器的内存中加载 .NET 程序集并执行它，而不需要将程序集写入到磁盘。用户可在 CobaltStrike 的 beacon 命令行使用 execute-assembly 来将其执行，这种在内存中执行程序的方法也被称为 “无文件(fileless)” 攻击，因为它能避免在磁盘上留下可疑的文件，从而绕过某些基于文件扫描的防御手段。

基础实践

在使用 “execute-assembly” 功能时，你需要提供要执行的 .NET 程序集的本地路径，然后 Beacon 会将这个程序集上传到目标机器的内存中并执行它。这个功能的一个强大之处在于 .NET 程序集可以使用 C# 编写，而 C# 提供了对 Windows API 的广泛访问，这使得你可以在目标机器上执行一系列复杂的操作。

下面按照微软官方提供的 C# 开发教程：Visual Studio 教程 | C#，先