本帖最后由 Thuranna 于 2020-3-17 20:12 编辑
转载自Tide安全团队
一、Xwizard简介xwizard.exe应该为Extensible wizard的缩写,中文翻译可扩展的向导主机进程,暂时无法获得官方资料。 利用xwizard.exe加载dll可以绕过应用程序白名单限制,该方法最大的特点是xwizard.exe自带微软签名,在某种程度上说,能够绕过应用程序白名单的拦截。 xwizard.exe支持Win7及以上操作系统,位于%windir%\system32\下。 对应64位系统: - %windir%\system32\对应64位xwizard.exe,只能加载64位xwizards.dll
- %windir%\SysWOW64\对应32位xwizard.exe,只能加载32位xwizards.dll
直接双击运行xwizard.exe获取帮助用法: 此处借用Github上面的两个弹窗的dll文件进行白名单程序Xwizard.exe执行dll的演示
用%windir%\system32\xwizard.exe执行64位的dll文件(msg_x64.dll):
将文件%windir%\system32\xwizard.exe复制到C:\x\64\文件夹下,并将msg_x64.dll重命名为xwizards.dll 执行:xwizard processXMLFile 1.txt 用%windir%\SysWOW64\xwizard.exe执行32位的dll文件(msg.dll):
将文件%windir%\SysWOW64\xwizard.exe复制到C:\x\32\文件夹下,并将msg.dll重命名为xwizards.dll 执行:xwizard processXMLFile 1.txt 二、白名单程序Xwizard.exe执行payload
简便起见,本想采用cs生成shellcode编译后的dll进行反弹shell,但是一直没有上线成功~~不知道是cs环境问题还是编译问题,那就使用t00ls上的一款dll劫持工具进行反弹shell吧。 此处以生成32位dll为例进行反弹shell,如图: 将生成的server.dll放在Xwizard.exe同目录中;
服务端监听nc端口:nc -lv 8801 Win 2008中利用Xwizard.exe执行dll,如图: 在装有360安全卫士的主机上进行nc反弹时,360会报警。
针对dll文件进行查杀检测,发现是可以过火绒杀毒的,如图:
VT查杀效果,如图:
三、总结
1、再次尝试了利用Msf反弹shell,使用Msf生成C语言shellcode,编译为dll文件。但是仍然无法上线,猜测可能是dll编译出现了问题,就编译生成的dll文件进行了查杀,360、火绒均会报毒! 使用VT查杀Msf生成的dll文件,查杀率15/70,如图:
2、Xwizard.exe在研究过程中发现360安全卫士对其未进行行为报警,初步猜测如果dll文件免杀能力强的话,完全可以bypass大部分的杀毒软件。
四、参考链接https://3gstudent.github.io/3gstudent.github.io/Use-xwizard.exe-to-load-dll
| 
发表于 2020-3-17 20:11:04