如何利用Regasm.exe與Regsvcs.exe繞過AppLocker

如何利用Regasm.exe與Regsvcs.exe繞過AppLocker，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

網(wǎng)站建設(shè)公司,為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及定制網(wǎng)站建設(shè)服務(wù),專注于企業(yè)網(wǎng)站建設(shè),高端網(wǎng)頁制作,對玻璃鋼雕塑等多個行業(yè)擁有豐富的網(wǎng)站建設(shè)經(jīng)驗的網(wǎng)站建設(shè)公司。專業(yè)網(wǎng)站設(shè)計,網(wǎng)站優(yōu)化推廣哪家好,專業(yè)seo優(yōu)化排名優(yōu)化,H5建站,響應(yīng)式網(wǎng)站。

AppLocker

AppLocker也被稱作“應(yīng)用程序控制策略”，是Windows系統(tǒng)下的一項安全功能，來幫助管理員對主機(jī)系統(tǒng)進(jìn)行一定程度的系統(tǒng)保護(hù)。通過合理定義規(guī)則，管理員可以決定哪些程序、安裝程序、腳本可以在計算機(jī)上被運(yùn)行，可以被定義的規(guī)則包括但不限于用戶名名稱、發(fā)布者名稱、產(chǎn)品名稱、文件路徑、文件哈希、文件版本。 

復(fù)現(xiàn)環(huán)境

攻擊機(jī)：Kali，IP 192.168.195.154

受害機(jī)：Windows 7 32位，IP 192.168.195.145，管理員權(quán)限用戶root，普通權(quán)限用戶test

工具：Metasploit、Ollydbg

文件：calc_signed.dll、calc_unsigned.dll、msf_signed.dll、msf_unsigned.dll

復(fù)現(xiàn)流程

首先在受害機(jī)上進(jìn)入本地服務(wù)，將Application Identity服務(wù)啟動，該服務(wù)為AppLocker功能生效的先決條件。

在攻擊機(jī)上使用msfvenom生成C#格式的payload，該payload運(yùn)行后將會連接攻擊機(jī)的指定端口。

網(wǎng)站“https://github.com/3gstudent/Bypass-McAfee-Application-Control--Code-Execution/blob/master/regsvcs.cs”可以下載用以生成惡意dll的cs文件，C:\Windows\Microsoft.NET\Framework\v4.0.30319文件夾中的csc.exe程序可以將cs文件生成為dll文件。在本文中，我們將使用calc.cs文件及msf.cs文件作為生成惡意dll的cs文件。其中，calc.cs文件即為從網(wǎng)站上下載的regsvcs.cs文件，msf.cs文件只需將calc.cs文件中shellcode部分替換為先前生成的payload即可。

csc.exe將使用calc.cs與msf.cs文件生成4個不同的dll文件，分別為calc_signed.dll、calc_unsigned.dll、msf_signed.dll、msf_unsigned.dll。其中calc_signed.dll為被簽名的dll文件，calc_unsigned.dll為未被簽名的dll文件，功能均為彈出一個計算器。msf_signed.dll為被簽名的dll文件，msf_unsigned.dll為未被簽名的dll文件，功能均為打開一個回連msf攻擊機(jī)的會話。生成這4個dll的具體指令見下圖。

Regasm.exe與Regsvcs.exe均可用來進(jìn)行AppLocker繞過，但regsvcs.exe加載或卸載指定dll時該dll必須簽名才可執(zhí)行成功，否則將會出現(xiàn)下圖中的報錯。

進(jìn)行簽名所需的程序在C:\Program Files\Microsoft SDKs\Windows\v8.0A\bin\NETFX 4.0 Tools文件夾中，可使用下圖中的命令生成密鑰對文件。

進(jìn)行繞過前，我們將設(shè)置AppLocker下文件的通過規(guī)則，該規(guī)則可在“控制面板-管理工具-本地安全策略-應(yīng)用程序控制策略-AppLocker”中進(jìn)行設(shè)置。在本例中，我們設(shè)置用戶名root允許或拒絕執(zhí)行calc.exe程序。如下圖所示，在允許執(zhí)行時，可以成功彈出計算器。

在拒絕執(zhí)行時，計算器無法成功彈出。因此可知，任意使用生成的dll來啟動新程序的行為將無法繞過AppLocker規(guī)則。因此，我們將使用不會啟動新程序的dll來進(jìn)行后續(xù)測試。由于無新程序啟動，則無法在Applocker中設(shè)置阻止規(guī)則。

如下圖所示，當(dāng)msf_signed.dll文件被嘗試加載時，進(jìn)行網(wǎng)絡(luò)通信回連行為的是Regsvcs.exe進(jìn)程。

在運(yùn)行上圖指令時，在攻擊端打開msfconsole開啟一個對4444端口的監(jiān)聽，隨后可以看見成功獲取shell。由下圖可知，獲取的shell可用來控制受害機(jī)。

由于Regasm.exe與Regsvcs.exe進(jìn)行dll注冊時需要管理員權(quán)限，因此在普通權(quán)限用戶test下測試時，我們將使用另一個指令。

Regasm.exe與Regsvcs.exe進(jìn)行dll卸載時普通權(quán)限即可，因此，我們使用下圖中的指令嘗試打開計算器與回連msf攻擊機(jī)。經(jīng)過測試。Regasm.exe可成功完成AppLocker繞過。

在攻擊機(jī)上可以看到，當(dāng)前的用戶權(quán)限為普通用戶test。

因此，即使受害機(jī)處于普通權(quán)限下，我們依然可以在攻擊機(jī)上對受害機(jī)進(jìn)行惡意操作，如下載文件、截屏、獲取系統(tǒng)信息、執(zhí)行指定程序等。

我們也可以在shell中移動至普通用戶有權(quán)限的位置（如桌面），進(jìn)行創(chuàng)建文件夾并上傳惡意文件等惡意操作。

最后，我們對被注冊的惡意msf_signed.dll進(jìn)行簡要的逆向分析，來了解該dll注冊時回連攻擊機(jī)的過程。將RegAsm.exe使用OD打開并添加msf_signed.dll為啟動參數(shù)，設(shè)置中斷于新dll的加載，隨后依次加載直至加載msf_signed.dll。

進(jìn)入新線程后，該dll將嘗試使用connect()函數(shù)連接ip 192.168.195.154。

連接成功后，該dll將嘗試使用recv()函數(shù)進(jìn)行數(shù)據(jù)接收。

準(zhǔn)備數(shù)據(jù)接收時，該dll將使用VirtualAlloc()函數(shù)分配內(nèi)存空間，將即將接收的數(shù)據(jù)存儲，由下圖可知接收的數(shù)據(jù)為一個PE文件。

隨后該dll將進(jìn)入該P(yáng)E文件所在的內(nèi)存空間，該文件為msf完成連接后進(jìn)行控制操作的核心代碼，攻擊機(jī)可通過該段代碼將攻擊指令下發(fā)至受害機(jī)，并從受害機(jī)獲取相應(yīng)的信息。

防護(hù)措施

1、開啟AppLocker功能，合理設(shè)置規(guī)則，阻止惡意可執(zhí)行文件的運(yùn)行；

2、不輕易注冊來歷不明的dll；

3、不輕易運(yùn)行來歷不明的軟件；

4、及時更新病毒庫，查殺主機(jī)中的惡意病毒；

5、推薦使用“鐵穹高級持續(xù)性威脅系統(tǒng)”（簡稱”鐵穹“）發(fā)現(xiàn)潛在的攻擊行為?！拌F穹”是東巽科技技術(shù)有限公司結(jié)合流量檢測與沙箱分析功能，用以檢測主機(jī)內(nèi)潛在威脅行為的系統(tǒng)。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

當(dāng)前文章：如何利用Regasm.exe與Regsvcs.exe繞過AppLocker
分享網(wǎng)址：http://bm7419.com/article8/gigpop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、微信公眾號、品牌網(wǎng)站制作、網(wǎng)站內(nèi)鏈、云服務(wù)器、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)