zux0x3a/Phantom

# =========================================== Phantom IIS Reflective Loader Phantom 是一个旨在以完全信任模式运行的 IIS 环境中，直接在内存内加载并执行 .NET 程序集的项目。它不依赖基于文件的方法，而是使用反射加载技术将 DLL 注入并在 w3wp.exe 工作进程池的内存空间内运行。该项目由两个主要部分组成： # =========================================== 1 Phantom (ASPX) Phantom/ ├── v1/ └── v2/ 一个基于 ASPX 的加载器，它集成了各种侧重规避的技术，用于将 .NET 程序集动态加载到内存中并执行，而无需将 DLL 写入磁盘。其目的是在 IIS 应用程序上下文中提供一种内存执行途径。 # =========================================== 2 PhantomLink .NET PhantomLink/ ├── PhantomLink.cs └── PhantomLink.csproj └── PhantomLink.sln └── README 一个 .NET 程序集，设计用于与 Phantom 加载器配合使用。它的主要目标是与 command‑and‑control (C2) 框架一起使用。PhantomLinker 允许 C2 操作员连接到 Phantom 加载器，并利用其功能完全从 C2 本身执行 DLL。这是执行横向移动或持久化的绝佳方式。 # =========================================== 3 Publications 官方博客文章： https://www.resillion.com/blogs/when-trusted-infrastructure-becomes-the-attack-surface/ 官方完整论文： https://www.resillion.com/resources/when-internet-information-services-iis-becomes-a-lateral-movement-platform/

标签：ASP.NET, ASPX, CISA项目, DLL注入, Full Trust, IIS, Phantom, PhantomLink, w3wp.exe, WebShell, 代理, 内存加载, 命令与控制, 多人体追踪, 无文件攻击, 横向移动, 流量审计, 编程规范