中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

發布時間:2021-12-16 17:49:09 來源:億速云 閱讀:302 作者:柒染 欄目:網絡管理

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

AppLocker 

AppLocker也被稱作“應用程序控制策略”,是Windows系統下的一項安全功能,來幫助管理員對主機系統進行一定程度的系統保護。通過合理定義規則,管理員可以決定哪些程序、安裝程序、腳本可以在計算機上被運行,可以被定義的規則包括但不限于用戶名名稱、發布者名稱、產品名稱、文件路徑、文件哈希、文件版本。 

復現環境

攻擊機:Kali,IP 192.168.195.154

受害機:Windows 7 32位,IP 192.168.195.145,管理員權限用戶root,普通權限用戶test

工具:Metasploit、Ollydbg

文件:calc_signed.dll、calc_unsigned.dll、msf_signed.dll、msf_unsigned.dll

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

復現流程

首先在受害機上進入本地服務,將Application Identity服務啟動,該服務為AppLocker功能生效的先決條件。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

在攻擊機上使用msfvenom生成C#格式的payload,該payload運行后將會連接攻擊機的指定端口。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

網站“https://github.com/3gstudent/Bypass-McAfee-Application-Control--Code-Execution/blob/master/regsvcs.cs”可以下載用以生成惡意dll的cs文件,C:\Windows\Microsoft.NET\Framework\v4.0.30319文件夾中的csc.exe程序可以將cs文件生成為dll文件。在本文中,我們將使用calc.cs文件及msf.cs文件作為生成惡意dll的cs文件。其中,calc.cs文件即為從網站上下載的regsvcs.cs文件,msf.cs文件只需將calc.cs文件中shellcode部分替換為先前生成的payload即可。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

csc.exe將使用calc.cs與msf.cs文件生成4個不同的dll文件,分別為calc_signed.dll、calc_unsigned.dll、msf_signed.dll、msf_unsigned.dll。其中calc_signed.dll為被簽名的dll文件,calc_unsigned.dll為未被簽名的dll文件,功能均為彈出一個計算器。msf_signed.dll為被簽名的dll文件,msf_unsigned.dll為未被簽名的dll文件,功能均為打開一個回連msf攻擊機的會話。生成這4個dll的具體指令見下圖。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

Regasm.exe與Regsvcs.exe均可用來進行AppLocker繞過,但regsvcs.exe加載或卸載指定dll時該dll必須簽名才可執行成功,否則將會出現下圖中的報錯。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

進行簽名所需的程序在C:\Program Files\Microsoft SDKs\Windows\v8.0A\bin\NETFX 4.0 Tools文件夾中,可使用下圖中的命令生成密鑰對文件。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

進行繞過前,我們將設置AppLocker下文件的通過規則,該規則可在“控制面板-管理工具-本地安全策略-應用程序控制策略-AppLocker”中進行設置。在本例中,我們設置用戶名root允許或拒絕執行calc.exe程序。如下圖所示,在允許執行時,可以成功彈出計算器。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

在拒絕執行時,計算器無法成功彈出。因此可知,任意使用生成的dll來啟動新程序的行為將無法繞過AppLocker規則。因此,我們將使用不會啟動新程序的dll來進行后續測試。由于無新程序啟動,則無法在Applocker中設置阻止規則。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

如下圖所示,當msf_signed.dll文件被嘗試加載時,進行網絡通信回連行為的是Regsvcs.exe進程。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

在運行上圖指令時,在攻擊端打開msfconsole開啟一個對4444端口的監聽,隨后可以看見成功獲取shell。由下圖可知,獲取的shell可用來控制受害機。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

由于Regasm.exe與Regsvcs.exe進行dll注冊時需要管理員權限,因此在普通權限用戶test下測試時,我們將使用另一個指令。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

Regasm.exe與Regsvcs.exe進行dll卸載時普通權限即可,因此,我們使用下圖中的指令嘗試打開計算器與回連msf攻擊機。經過測試。Regasm.exe可成功完成AppLocker繞過。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

在攻擊機上可以看到,當前的用戶權限為普通用戶test。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

因此,即使受害機處于普通權限下,我們依然可以在攻擊機上對受害機進行惡意操作,如下載文件、截屏、獲取系統信息、執行指定程序等。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

我們也可以在shell中移動至普通用戶有權限的位置(如桌面),進行創建文件夾并上傳惡意文件等惡意操作。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

最后,我們對被注冊的惡意msf_signed.dll進行簡要的逆向分析,來了解該dll注冊時回連攻擊機的過程。將RegAsm.exe使用OD打開并添加msf_signed.dll為啟動參數,設置中斷于新dll的加載,隨后依次加載直至加載msf_signed.dll。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

進入新線程后,該dll將嘗試使用connect()函數連接ip 192.168.195.154。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

連接成功后,該dll將嘗試使用recv()函數進行數據接收。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

準備數據接收時,該dll將使用VirtualAlloc()函數分配內存空間,將即將接收的數據存儲,由下圖可知接收的數據為一個PE文件。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

隨后該dll將進入該PE文件所在的內存空間,該文件為msf完成連接后進行控制操作的核心代碼,攻擊機可通過該段代碼將攻擊指令下發至受害機,并從受害機獲取相應的信息。

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

防護措施

1、開啟AppLocker功能,合理設置規則,阻止惡意可執行文件的運行;

2、不輕易注冊來歷不明的dll;

3、不輕易運行來歷不明的軟件;

4、及時更新病毒庫,查殺主機中的惡意病毒;

5、推薦使用“鐵穹高級持續性威脅系統”(簡稱”鐵穹“)發現潛在的攻擊行為。“鐵穹”是東巽科技技術有限公司結合流量檢測與沙箱分析功能,用以檢測主機內潛在威脅行為的系統。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

翁源县| 凌海市| 麻城市| 南宫市| 安乡县| 罗甸县| 原阳县| 高平市| 准格尔旗| 海盐县| 普洱| 天峻县| 团风县| 永年县| 徐闻县| 马边| 新兴县| 长子县| 德安县| 禄劝| 若羌县| 和平区| 平邑县| 名山县| 武威市| 阳原县| 宣化县| 西城区| 东港市| 华池县| 资源县| 龙泉市| 南和县| 泸水县| 太康县| 慈溪市| 加查县| 连平县| 元氏县| 东平县| 称多县|