微软签名的 XOML 工具，通过 Sharp4LoadXOML 执行任意命令

在红队打点与对抗过程中，如何在目标系统中实现高隐蔽性的代码执行，一直是攻防双方关注的重点。

本文将详细介绍一款专为此目的设计的工具 —— Sharp4LoadXOML.exe，它不仅延续了我们之前介绍过的 Sharp4XOMLLoader 的技术思路，还进一步通过微软官方的数字签名，极大提升了绕过安全防护系统检测的能力。

XOML（eXtensible Object Markup Language）本质上是一种基于 XML 的工作流定义语言，广泛用于 Windows Workflow Foundation (WF) 环境下定义和描述工作流逻辑。由于 XOML 文件天然属于合法格式，且由 Windows 官方支持，因此在许多系统与安全策略中，XOML 文件及其加载行为往往处于白名单信任列表之中，不易被传统防护软件识别为威胁。

在攻击利用中，如果能够通过 XOML 文件动态加载并执行嵌入的 .NET 代码，就能在不引起注意的情况下实现任意命令或恶意逻辑的执行。

Sharp4LoadXOML.exe 是一款专门用于加载并执行嵌入在 XOML 文件中的 .NET 代码的小型工具。与以往类似工具不同，Sharp4LoadXOML.exe 带有微软官方数字签名，使得在系统中更容易绕过各种白名单机制与防护监控，基本命令格式如下所示。

Sharp4LoadXOML.exe /debug:- SequenceActivity.xoml

/debug:-禁止生成调试信息文件，提高隐蔽性，避免磁盘上留下多余痕迹。SequenceActivity.xoml指定要加载执行的 XOML 文件，文件中可嵌入任意合法的 .NET 代码逻辑。

综上，Sharp4LoadXOML.exe 是一款以极高隐蔽性执行 .NET 代码的红队利器，凭借微软官方数字签名及工作流机制的双重掩护，使得恶意指令可以在目标系统上悄无声息地运行，极大提升了红队打点阶段的突破效率。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

从漏洞分析到安全攻防，我们涵盖了 .NET 安全各个关键方面，为您呈现最新、最全面的 .NET 安全知识，下面是公众号发布的精华文章集合，推荐大伙阅读！