2026-04-27 04:31:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Phantom是一款针对IIS全信任环境的.NET无文件内存反射加载工具，通过ASPX加载器将程序集注入w3wp.exe进程实现隐蔽执行，配套PhantomLink模块支持C2连接，适用于渗透测试中的横向移动和持久化场景。该技术利用IIS自身信任机制规避文件监控，具备高隐蔽性和抗查杀能力。 综合评分： 78 文章分类： 渗透测试,红队,内网渗透,WEB安全,安全工具

cover_image

IIS环境下无文件内存反射加载器

原创

3had0w 3had0w

Hack分享吧

2026年4月2日 08:31 湖南

在小说阅读器读本章

去阅读

现在只对常读和星标公众号才展示大图推送，建议大家把“Hack分享吧”设为星标，否则可能看不到了！

项目简介

Phantom 是一款面向 IIS 全信任模式 的 .NET 程序集内存反射加载工具，全程无文件落地，直接在 w3wp.exe 进程空间内注入并执行 DLL，专为渗透测试、横向移动与持久化场景设计。

项目概述

Phantom 核心思路：把 IIS 本身变成执行平台。

在 IIS Full-Trust 环境中，不依赖磁盘文件，通过反射加载技术，将 .NET 程序集直接注入 w3wp.exe 工作进程执行，实现高隐蔽、无文件、抗查杀的代码运行能力。

这个项目由两大核心模块 + 配套论文组成：

Phantom（ASPX 加载器）
PhantomLink（.NET 联动程序集）
研究论文：When IIS platform becomes an execution platform
https://www.resillion.com/wp-content/uploads/2026/03/When-IIS-platform-becomes-an-execution-platform.pdf

技术亮点

无文件落地：全程不写磁盘，规避 EDR / 杀软文件监控
进程隐身：代码运行在 w3wp.exe 合法进程内
反射加载：不依赖传统程序集加载方式，降低痕迹
全信任IIS：利用 IIS 自身信任级别执行高权限操作
C2友好：支持对接控制端，适合实战化后渗透

适用场景

已拿下 IIS 服务器后的无文件持久化
内网横向移动，借助 IIS 作为跳板执行代码
规避文件写入监控的渗透测试场景
以 w3wp.exe 为掩护的权限维持

核心模块详解

Phantom（ASPX 加载器）

提供 v1 /v2 两个版本，基于 ASPX 实现免杀型内存加载器。

采用多种规避（Evasion）技术
动态加载 .NET 程序集到内存
不写入磁盘，直接执行 DLL
运行在 IIS 应用上下文，权限与应用池一致

作用：提供一条在 IIS 中无文件执行代码的稳定通道。

2. PhantomLink .NET

与 Phantom 加载器配合使用的 .NET 程序集，专为 C2 场景设计。

可对接主流 C2 框架
让 C2 操作者直接连接 Phantom 加载器
从 C2 端下发 DLL 并完全内存执行
适用于横向移动、持久化、无文件驻留

作用：把 Phantom 变成 C2 在 IIS 上的无文件执行节点。

下载地址

点击下方名片进入公众号

回复关键字【260402】获取下载链接

知识星球

星球已过800人，暂不再发放优惠券，如还有需要的师傅可加我VX：S_3had0w，等你一起来学习…！

| | | | — | — | | | |

往期推荐工具

Commando VM 3.0 红队渗透工具集

Hikvision海康威视数据库账号解密工具

很强！Windows11 渗透测试工具包

N！9个OA高危漏洞利用工具v1.1.6

v1.1！最新版Weblogic漏洞利用工具

防溯源！无VPS也可用的C2小工具

Q！两个免费的数据泄露查询平台

GodPotato！新版土豆提权利用工具

牛B！一个国产的安卓渗透工具箱

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Hack分享吧 3had0w 3had0w《IIS环境下无文件内存反射加载器》