.NET内网实战：白名单文件反序列化执行命令

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，对内网和后渗透感兴趣的朋友们可以订阅该电子报刊，解锁更多的报刊内容。

02基本介绍

本文内容部分节选自小报童《.NET 白名单文件通过反序列化执行命令》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有200+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

03原理分析

VisualUiaVerifyNative是一款具备微软白名单的可执行文件，用于基于Microsoft UI Automation框架进行应用测试。然而，通过对其配置文件的精心操作，攻击者可以非法使用其功能来触发反序列化漏洞，执行任意代码。VisualUiaVerifyNative.exe通常依赖于以下两个重要的动态链接库。

3.1 UIAComWrapper.dll

UIAComWrapper.dll，该 DLL 文件封装了 UI Automation COM 接口，用于简化与 UI Automation 元素的交互。

3.2 WUIATestLibrary.dll

另外，WUIATestLibrary.dll 提供了一些专门用于 UI 自动化测试的库函数，主要支持自动化测试中的通用任务，例如自动化 UI 控件的查找、状态验证和操作。

这些依赖库的主要