远控免杀专题(49)-白名单Xwizard.exe执行payload
2022-7-12 00:2:12 Author: 白帽子(查看原文) 阅读量:27 收藏

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


xwizard.exe应该为Extensible wizard的缩写,中文翻译可扩展的向导主机进程,暂时无法获得官方资料。

利用xwizard.exe加载dll可以绕过应用程序白名单限制,该方法最大的特点是xwizard.exe自带微软签名,在某种程度上说,能够绕过应用程序白名单的拦截。

xwizard.exe支持Win7及以上操作系统,位于%windir%\system32\下。

对应64位系统:

  • %windir%\system32\对应64位xwizard.exe,只能加载64位xwizards.dll
  • %windir%\SysWOW64\对应32位xwizard.exe,只能加载32位xwizards.dll

直接双击运行xwizard.exe获取帮助用法:

此处借用Github上面的两个弹窗的dll文件进行白名单程序Xwizard.exe执行dll的演示

用%windir%\system32\xwizard.exe执行64位的dll文件(msg_x64.dll):

将文件%windir%\system32\xwizard.exe复制到C:\x\64\文件夹下,并将msg_x64.dll重命名为xwizards.dll

执行:xwizard processXMLFile 1.txt

用%windir%\SysWOW64\xwizard.exe执行32位的dll文件(msg.dll):

将文件%windir%\SysWOW64\xwizard.exe复制到C:\x\32\文件夹下,并将msg.dll重命名为xwizards.dll

执行:xwizard processXMLFile 1.txt

简便起见,本想采用cs生成shellcode编译后的dll进行反弹shell,但是一直没有上线成功~~不知道是cs环境问题还是编译问题,那就使用t00ls上的一款dll劫持工具进行反弹shell吧。

此处以生成32位dll为例进行反弹shell,如图:

将生成的server.dll放在Xwizard.exe同目录中;

服务端监听nc端口:nc -lv 8801

Win 2008中利用Xwizard.exe执行dll,如图:

在装有360安全卫士的主机上进行nc反弹时,360会报警。

针对dll文件进行查杀检测,发现是可以过火绒杀毒的,如图:

VT查杀效果,如图:

1、再次尝试了利用Msf反弹shell,使用Msf生成C语言shellcode,编译为dll文件。但是仍然无法上线,猜测可能是dll编译出现了问题,就编译生成的dll文件进行了查杀,360、火绒均会报毒!

使用VT查杀Msf生成的dll文件,查杀率15/70,如图:

2、Xwizard.exe在研究过程中发现360安全卫士对其未进行行为报警,初步猜测如果dll文件免杀能力强的话,完全可以bypass大部分的杀毒软件。

https://3gstudent.github.io/3gstudent.github.io/Use-xwizard.exe-to-load-dll/

E

N

D

guān

zhù

men

Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246172&idx=2&sn=0b1cfe0aae7d9a512b0a81602cac34ac&chksm=82ea57b5b59ddea37e460cd3be167e8fb3c4360ed5284b1dc841045346040fc315d4e409a264#rd
如有侵权请联系:admin#unsafe.sh