#科技##IT运维##安全#
如今,许多企业或组织都会通过使用受限的windows环境来减少系统表面的漏洞。系统加固的越好,那么也就意味着能被访问和使用到的功能就越少。
我最近遇到的情况是,一个已经加固的系统同时受到McAfee Solidcore的保护。Solidcore几乎阻止用户对系统任何的更改操作,如安装/取消软件安装,运行可执行文件,启动应用程序等。
我所测试的系统(Windows 7)被系统管理员设置了登录密码,因此除了访问登录界面和重启系统外,我无法访问该系统任何其他的功能。
为此,我花了近一个礼拜来收集关于该应用和系统的信息,其中包括使用社会工程学的手段。最终,我通过Google dork获取到了管理员的登录凭据。
成功登录目标系统后,我发现主机的大多数功能依旧无法被正常访问。该应用程序设计得非常的好,对用户的访问权限做了较为严格的管控。
但我发现,该应用程序有一个选项就是允许用户打印文档,这意味着我们可以访问主机的文件资源管理器。
Print-->printer settings-->add a printer-->location-->browse location
![6487327dce71be7c56704c77e994c2fc.png](https://i-blog.csdnimg.cn/blog_migrate/98cc618ffff713771edc6cbfc7b1754a.jpeg)
每个Windows文件资源管理器都有一个Windows帮助选项,它提供关于Windows特性的免费帮助。那么,我们有没有可能通过帮助选项,来尝试打开命令提示符呢?这是有可能的。
![e185c685a9b14783b2d7d665511bb687.png](https://i-blog.csdnimg.cn/blog_migrate/63eb5094769031fe5962997f96558a7d.jpeg)
![b85236190c96fd2328f96d5ba226bfcf.png](https://i-blog.csdnimg.cn/blog_migrate/22dc731388ce554af9cad6091788c9f4.jpeg)
在成功调出cmd后,我发现在cmd中我依旧无法正常访问一些其他的Windows应用,并且也无法在系统中做任何更改操作(即使是打开一个记事本)。每当我试图打开某个应用时,均会出现以下报错信息:
![925e497e0498660028816dba38bdfe81.png](https://i-blog.csdnimg.cn/blog_migrate/185b9089e3bfeece62568ce62bd6578d.jpeg)
从报错信息可以看出应用程序被进行了锁定,我们需要从注册表或组策略编辑器中才能启用它。但由于Solidcore的限制,我并没对此的任何访问权限。我使用以下批处理脚本修改注册表项并启用任务管理器(虽然我并不确定,报错的真正原因是否和注册表或组策略编辑器有关):
![c4438bc10695100fd73cf65f81f83095.png](https://i-blog.csdnimg.cn/blog_migrate/2547dbb975ca665c47c586d66eaef4dd.jpeg)
在成功执行批处理脚本后,我获取到了任务管理器以及控制面板的访问权限。我的主要目的是禁用或卸载Solidcore,但一切并没有我想象的那么轻松,Solidcore依旧无法被禁用或卸载(其他软件可被正常禁用或卸载)。
![597838d2ac4325322bb03fbf3c339608.png](https://i-blog.csdnimg.cn/blog_migrate/9c3ff2bb7519a0101d86c1d56b8503a8.jpeg)
那么只剩一种可能性了,就是通过“组策略编辑器”来禁用Solidcore/启用其他软件的安装。然而我并没有直接访问gpedit,而是使用了以下方式进行了访问:
Open Task manager-->File -->New task-->Type MMC and enter
打开微软管理策略
In mmc File-->Add/Remove snap-in--> Select Group Policy Objects and click on add
![c585c958300eb4e77dc534734808a808.png](https://i-blog.csdnimg.cn/blog_migrate/80000cb9cfbb650be350986a21dd7473.jpeg)
![2c86018cf89c6135fc8d87d42a8ff846.png](https://i-blog.csdnimg.cn/blog_migrate/1660411a753d290d7ad412430719b819.jpeg)
现在,我能够执行许多操作,例如启用被锁定的系统应用、访问桌面、禁用Windows限制等等。如上所述,我的主要目的是禁用Solidcore,并在系统上运行任何windows的可执行性文件。
组策略编辑器提供了运行/锁定Windows软件的选项。设置如下:
Group Policy editor-->User Configuration > Administrative Templates > System
在右选项框有一个“不要运行特定windows应用程序”的选项。点击它:
Edit-->Select Enabled-->Click on show list of disallowed applications--> 然后添加你想要锁定的应用名称(这里我填的是solidcore)。然后点击"Ok"。
![cf84c6fd50f79ef87e27b19f0582494f.png](https://i-blog.csdnimg.cn/blog_migrate/8a785367fb4703c79472315e7631d763.jpeg)
为了使更改生效,我重启了系统。同样,你也可以使用该方法在windows上运行一些其他的软件(例如恶意软件等)。