.NET 白名单文件通过反序列化执行系统命令

在日常的红队行动中，利用微软签名的白名单文件来绕过防护措施是一种常见的行为，有些场景下红队通过利用系统白名单文件加载反序列化漏洞的方式执行恶意指令。

0x01 VisualUiaVerifyNative介绍

VisualUiaVerifyNative.exe 是一款具备微软签名的可执行文件，属于Microsoft UI Automation框架的一部分，最初设计用于帮助开发人员验证UI自动化的状态，一般在 Microsoft Windows SDK（Windows Kits）包中，比如路径：Windows Kits\10\bin\10.0.22621.0\x64\UIAVerify，该工具通常依赖于以下两个重要的动态链接库（DLL）文件：

• UIAComWrapper.dll，该 DLL 文件封装了 UI Automation COM 接口，用于简化与 UI Automation 元素的交互。UI Automation 是一种微软提供的技术，允许自动化工具控制、监视和测试 Windows 应用程序的用户界面。UIAComWrapper.dll 使 VisualUIAVerifyNative.exe 可以使用 .NET 代码与 UI Automation API 进行交互。

• WUIATestLibrary.dll，WUIATestLibrary.