SharpC2中EXE格式的Payload生成学习记录，shellcode的也差不多，多使用了个donut，记个笔记，写的比较潦草。

在MAC中的VS启动Teamserver，使用其自带的swagger进行调试（好方便）

在调试处发起请求，在PayloadsController这个Controller中对应的处理action是GetPayload，在这下断点

39行首先获取Profile，跟过去看到是从这里取配置设置的TeamServer.Models.C2Profile

接着payload为exe格式，自然进入ExePayload()方法处理

payload类型

进入到TeamServer.Models.ExePayload中的Generate()

第一步，进入GetDroneModuleDef，调用TeamServer.Utilities中的GetEmbeddedResource

GetEmbeddedResource方法如下

大致就是获取TeamServer中的资源文件读取到内存。

然后调用.net第三方库dnlib

语句：ModuleDefMD.Load(drone);，读取模块，（只能读取.net的模块这个库）

接着对模块进行一系列操作

通过这个库给这个EXE的payload根据profile写一些设置，

这里的EmbedHandler()复杂的一笔，猜测是对应Handler的，但代码真没看懂，还望师傅赐教，

        private void EmbedHandler(ModuleDef module)
        {
            // get handlers (not including the abstract)
            var handlers = module.Types
                .Where(t => t.FullName.Contains("Drone.Handlers", StringComparison.OrdinalIgnoreCase))
                .Where(t => !t.FullName.Equals("Drone.Handlers.Handler", StringComparison.OrdinalIgnoreCase));
            
            // match the one that matches the abstract name
            // it's actually set in the ctor of all places
            TypeDef targetHandler = null;
            
            foreach (var handler in handlers)
            {
                var ctor = handler.Methods.GetConstructor();
                if (ctor is null) continue;
                
                var instructions = ctor.Body.Instructions.Where(i => i.OpCode == OpCodes.Ldstr);
                
                foreach (var instruction in instructions)
                {
                    if (instruction.Operand is null) continue;
                    var operand = (string) instruction.Operand;
                    if (!operand.Equals(Handler.Name, StringComparison.OrdinalIgnoreCase)) continue;
                    
                    targetHandler = handler;
                    break;
                }
            }
            if (targetHandler is null) throw new Exception("Could not find matching Handler");
            if (Handler.Parameters is not null)
            {
                foreach (var handlerParameter in Handler.Parameters)
                {
                    // get matching method in handler
                    var method = targetHandler.Methods.GetMethod(handlerParameter.Name);
                    var instruction = method?.Body.Instructions.FirstOrDefault(i => i.OpCode == OpCodes.Ldstr);
                    if (instruction is null) continue;
                    instruction.Operand = handlerParameter.Value;
                }
            }
            // finally, ensure that the drone is creating an instance of the correct handler
            var droneType = module.Types.GetType("Drone");
            var getHandler = droneType.Methods.GetMethod("get_GetHandler");
            getHandler.Body.Instructions[0].Operand = targetHandler.Methods.GetConstructor();
        }

最后使用AutoMapper，转换类型并响应这个请求，这个东西开始在controller构造函数中也注入进来了

转换这个对象为bytes类型并响应

为base64，解开之后是PE