声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
xwizard.exe应该为Extensible wizard的缩写,中文翻译可扩展的向导主机进程,暂时无法获得官方资料。
利用xwizard.exe加载dll可以绕过应用程序白名单限制,该方法最大的特点是xwizard.exe自带微软签名,在某种程度上说,能够绕过应用程序白名单的拦截。
xwizard.exe支持Win7及以上操作系统,位于%windir%\system32\下。
对应64位系统:
%windir%\system32\
对应64位xwizard.exe,只能加载64位xwizards.dll%windir%\SysWOW64\
对应32位xwizard.exe,只能加载32位xwizards.dll直接双击运行xwizard.exe
获取帮助用法:
此处借用Github上面的两个弹窗的dll文件进行白名单程序Xwizard.exe执行dll的演示
用%windir%\system32\xwizard.exe执行64位的dll文件(msg_x64.dll):
将文件%windir%\system32\xwizard.exe复制到C:\x\64\文件夹下,并将msg_x64.dll重命名为xwizards.dll
执行:xwizard processXMLFile 1.txt
用%windir%\SysWOW64\xwizard.exe执行32位的dll文件(msg.dll):
将文件%windir%\SysWOW64\xwizard.exe复制到C:\x\32\文件夹下,并将msg.dll重命名为xwizards.dll
执行:xwizard processXMLFile 1.txt
简便起见,本想采用cs生成shellcode编译后的dll进行反弹shell,但是一直没有上线成功~~不知道是cs环境问题还是编译问题,那就使用t00ls上的一款dll劫持工具进行反弹shell吧。
此处以生成32位dll为例进行反弹shell,如图:
将生成的server.dll
放在Xwizard.exe同目录中;
服务端监听nc端口:nc -lv 8801
Win 2008中利用Xwizard.exe执行dll,如图:
在装有360安全卫士的主机上进行nc反弹时,360会报警。
针对dll文件进行查杀检测,发现是可以过火绒杀毒的,如图:
VT查杀效果,如图:
1、再次尝试了利用Msf反弹shell,使用Msf生成C语言shellcode,编译为dll文件。但是仍然无法上线,猜测可能是dll编译出现了问题,就编译生成的dll文件进行了查杀,360、火绒均会报毒!
使用VT查杀Msf生成的dll文件,查杀率15/70,如图:
2、Xwizard.exe在研究过程中发现360安全卫士对其未进行行为报警,初步猜测如果dll文件免杀能力强的话,完全可以bypass大部分的杀毒软件。
https://3gstudent.github.io/3gstudent.github.io/Use-xwizard.exe-to-load-dll/
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号: