绕过AppLocker系列之弱路径规则的利用

最新推荐文章于 2020-02-21 10:27:48 发布
最新推荐文章于 2020-02-21 10:27:48 发布
阅读量148 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/215792
版权
本文讲的是 绕过AppLocker系列之弱路径规则的利用默认情况下,AppLocker规则允许Windows文件夹和Program 文件夹内的所有文件执行,否则系统将无法正常运行。 如果这些文件夹中没有设置适当的权限,攻击者就可以利用此权限绕过AppLocker。

默认情况下,Windows 环境(Windows Server 2008 R2中进行了检查),允许系统的标准用户在这些文件夹中具有读写权限:

C:WindowsTasks
C:WindowsTemp
C:Windowstracing

accesschk工具可用于确定 “Users”用户组是否具有Windows文件夹内的RW权限。

绕过AppLocker系列之弱路径规则的利用

Windows文件夹的弱权限

下一步是将二进制文件放入具有弱权限的文件夹中并执行它。在本文的演示中,可执行文件是一个合法的应用程序——accesschk64。

绕过AppLocker系列之弱路径规则的利用

AppLocker – 将二进制文件放到弱文件夹中

由于AppLocker规则允许Windows文件夹中包含的文件可以执行,所以该应用程序可以正常运行。 否则它将被AppLocker规则阻止。

绕过AppLocker系列之弱路径规则的利用

AppLocker 的默认规则

绕过AppLocker系列之弱路径规则的利用

AppLocker Bypass – 弱路径规则

结论

默认实现AppLocker并不能提供任何安全措施,因为它可以被轻松的绕过。 由于AppLocker默认情况下信任Microsoft签名的二进制文件和Windows文件夹,因此必须评估可执行代码的权限和可信任的二进制文件,以便能够有效的保护Windows生态系统。




原文发布时间为:2017年7月22日
本文作者:丝绸之路 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_33774308
关注
Windows Defender 绕过(RTO I Lab环境实测)
0pr
12-17 1536
这篇文章尝试了一下在 PEN300 课程之外的环境里面,Windows Defender 绕过的应用效果。在 RTO Lab 中看了一下 WD 的 Exclusion 设置,并没有添加任何文件和文件夹。意味着 WD 的运行应该就是真实环境中的那样,并没有任何干预。之后,再次用相同的 Payload 在 Data Center 2022 上做了一样的测试。Cobalt Strike 生成的被检测到并删除,而我们的 Payload 健在。
Evasor:蓝色和红色团队在后期开发阶段中使用的工具,可以绕过APPLICATIONCONTROL策略
03-20
Evasor是一种自动化的安全评估工具,可在Windows操作系统上找到可用于绕过任何应用程序控制规则的现有可执行文件。它非常易于使用,快速,节省时间并且完全自动化,可以为您生成报告,包括描述,屏幕截图和缓解建议...
利用Regsvr32绕过Applocker的限制策略
dichengpai8268的博客
05-08 143
Metasploit Metasploit框架有一个特定的有效载荷,可用于通过Regsvr32实用程序实现自动化绕过AppLocker exploit/windows/misc/regsvr32_applocker_bypass_server 该模块将启用一个用于存储恶意.sct文件的web服务,同时也提供用于在目标系统下执行的命令 命令执行后regsvr32将从web服务器...
应用程序控制策略——AppLocker
weixin_34138139的博客
08-01 383
AppLocker 是一款用于替代软件限制策略功能的全新系统管理工具。存在于 Windows Server 2008 R2 的所有版本以及 Windows 7 旗舰版 和 Windows 7 企业版 中。在 Windows 7 专业版 中,可以创建 AppLocker 规则,但 AppLocker 规则无法在运行 Windows 7 专业版 的计算机上强制执行。 AppLo...
绕过AppLocker系列之控制面板的利用
weixin_34224941的博客
09-13 178
本文讲的是绕过AppLocker系列之控制面板的利用,使用默认规则实现AppLocker不能提供任何充分的保护,因为通过使用合法的Windows二进制文件和利用常见的系统错误配置就会产生多个绕过方法。在Windows系统中,当用户打开控制面板时,会加载多个CPL文件。这些CPL文件的列表是从注册表中获得的。 Francesco Mifsud发现,...
AppLocker绕过之路
蚁景网安学院
02-21 1337
前言在提权中我们经常会遇到目标开启了Applocker的情况,本文将以https://github.com/api0cradle/UltimateAppLockerByPassList为...
UltimateAppLockerByPassList:此存储库的目标是记录绕过AppLocker的最常用技术
02-25
由于可以以不同的方式配置AppLocker,因此我维护一个经过验证的绕过列表(适用于默认的AppLocker规则)和一个具有可能的绕过技术的列表(取决于配置),或者声称是某人绕过的列表。 我还列出了通用的绕过技术以及要...
AppLocker-Guidance:使用AppLocker实施应用程序白名单的配置指南。 #nsacyber
02-06
- AppLocker不能阻止所有类型的恶意行为,比如某些脚本或动态加载的模块可能绕过规则。 - 谨慎处理更新和升级,以免意外阻止关键服务。 - 在多层安全策略中,AppLocker应作为补充,而不是唯一防线。 总的来说,...
内网-多维度对抗 Windows AppLocker.pdf
09-18
路径条件容易被攻击者绕过,因为通过复制或移动文件就可以规避路径的限制。文件哈希条件相对安全许多,即使攻击者改名或移动文件,也难以绕过这种安全策略。而发布者条件是安全系数最高的配置方式,因为内置的五种...
各种函数声明和定义模块
最新发布
09-16
各种函数声明和定义模块
湖北工业大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
1805.06605v2 DEFENSE-GAN.pdf
09-16
1805.06605v2 DEFENSE-GAN.pdf
【语音去噪】FIR和IIR低通+带通+高通语音信号滤波(含时域频域分析)【含Matlab源码 4943期】.mp4
09-16
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 语音处理系列程序定制或科研合作方向:语音隐藏、语音压缩、语音识别、语音去噪、语音评价、语音加密、语音合成、语音分析、语音分离、语音处理、语音编码、音乐检索、特征提取、声源定位、情感识别、语音采集播放变速等;
java-ssm+jsp幼儿园管理系统实现源码(项目源码-说明文档)
09-16
管理员成功登录后台管理界面,选择“教师管理”,出现教师列表。在教师管理页面,管理员可以添加、修改、查询及删除教师信息。 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:ssm 前端技术:jsp 关键技术:jsp、spring、ssm、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
hadoop_3_2_0-yarn-resourcemanager-3.3.4-1.el7.x86_64.rpm
09-16
Ambari+Bigtop 一站式编译和部署解决方案 https://gitee.com/tt-bigdata/ambari-env
DelphiWebMVC-master.zip
09-16
delphi在web系统开发上没有像java或php 这样方便,对于一直使用delphi的工程师来说是个遗憾,因此使用delphi技术开发了一套Web框架,使用MVC模式,让工程师只需把精力放在模型与视图的设计上,让delphi开发web系统更方便。
东北农业大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
python第二次作业
09-16
python第二次作业
Windows 7实用技巧大揭秘:从问题步骤记录器到AppLocker
AppLocker是Windows 7新增的安全特性,允许管理员设定规则来控制哪些用户可以运行哪些应用程序。通过此功能,企业可以更好地管理和保护其网络环境,防止未经授权的软件执行。 以上只是Windows 7众多小诀窍中的一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值