當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x02 白名單程序Xwizard.exe執行payload
0x01 Xwizard簡介
xwizard.exe應該爲Extensible wizard的縮寫,中文翻譯可擴展的嚮導主機進程,暫時無法獲得官方資料。
利用xwizard.exe加載dll可以繞過應用程序白名單限制,該方法最大的特點是xwizard.exe自帶微軟簽名,在某種程度上說,能夠繞過應用程序白名單的攔截。
xwizard.exe支持Win7及以上操作系統,位於%windir%\system32\下。
對應64位系統:
-
%windir%\system32\對應64位xwizard.exe,只能加載64位xwizards.dll -
%windir%\SysWOW64\對應32位xwizard.exe,只能加載32位xwizards.dll
直接雙擊運行xwizard.exe獲取幫助用法:
此處借用Github上面的兩個彈窗的dll文件進行白名單程序Xwizard.exe執行dll的演示
用%windir%\system32\xwizard.exe執行64位的dll文件(msg_x64.dll):
將文件%windir%\system32\xwizard.exe複製到C:\x\64\文件夾下,並將msg_x64.dll重命名爲xwizards.dll
執行:xwizard processXMLFile 1.txt
用%windir%\SysWOW64\xwizard.exe執行32位的dll文件(msg.dll):
將文件%windir%\SysWOW64\xwizard.exe複製到C:\x\32\文件夾下,並將msg.dll重命名爲xwizards.dll
執行:xwizard processXMLFile 1.txt
0x02 白名單程序Xwizard.exe執行payload
簡便起見,本想採用cs生成shellcode編譯後的dll進行反彈shell,但是一直沒有上線成功~~不知道是cs環境問題還是編譯問題,那就使用t00ls上的一款dll劫持工具進行反彈shell吧。
此處以生成32位dll爲例進行反彈shell,如圖:
將生成的server.dll放在Xwizard.exe同目錄中;
服務端監聽nc端口:nc -lv 8801
Win 2008中利用Xwizard.exe執行dll,如圖:
在裝有360安全衛士的主機上進行nc反彈時,360會報警。
針對dll文件進行查殺檢測,發現是可以過火絨殺毒的,如圖:
VT查殺效果,如圖:
0x03 總結
1、再次嘗試了利用Msf反彈shell,使用Msf生成C語言shellcode,編譯爲dll文件。但是仍然無法上線,猜測可能是dll編譯出現了問題,就編譯生成的dll文件進行了查殺,360、火絨均會報毒!
使用VT查殺Msf生成的dll文件,查殺率15/70,如圖:
2、Xwizard.exe在研究過程中發現360安全衛士對其未進行行爲報警,初步猜測如果dll文件免殺能力強的話,完全可以bypass大部分的殺毒軟件。
參考鏈接:
https://3gstudent.github.io/3gstudent.github.io/Use-xwizard.exe-to-load-dll/
雖然我們生活在陰溝裏,但依然有人仰望星空!