花式繞過McAfee本地防護規則
如今,許多企業或組織都會通過使用受限的windows環境來緩解攻擊。為了加強系統,會把很多功能都限制或者取消了,能使用的功能越來越少。
最近做滲透時,我發現有系統利用McAfee Solidcore保護,Solidcore可阻止用戶對系統進行任何更改,如安裝/卸載軟體,運行可執行文件,啟動應用程序等。
我所測試的系統(Windows 7)被系統管理員設置了登錄密碼,因此除了訪問登錄界面和重啟系統外,我無法訪問該系統任何其他的功能。
為此,我花了近一個禮拜的時間來收集關於該應用和系統的信息,其中包括使用社會工程學的手段。最終,我通過Google dork獲取到了管理員的登錄憑據。
成功登錄目標系統後,我發現主機的大多數功能依舊無法被正常訪問。該應用程序設計得非常的好,對用戶的訪問許可權做了較為嚴格的管控。
但該應用程序有一個選項允許用戶列印文檔,這意味著我們可以訪問主機的文件資源管理器。
Print-->printer settings-->add a printer-->location-->browse location
每個Windows文件瀏覽器都有一個Windows幫助選項,可以從幫助選項打開命令提示符。
在調出cmd後,在cmd中依舊無法正常訪問一些其他的Windows應用,並且也無法在系統中做任何更改操作(即使是打開一個記事本)。每當我試圖打開某個應用時,均會出現以下報錯信息:
從報錯信息可以看出應用程序被Solidcore阻止,我對此並沒有任何訪問許可權。我們需要從註冊表或組策略編輯器中才能啟用它。但由於Solidcore的限制,我使用以下批處理腳本修改註冊表項並啟用任務管理器(雖然我並不確定,報錯的真正原因是否和註冊表或組策略編輯器有關)
在成功執行批處理腳本後,我獲取到了任務管理器以及控制面板的訪問許可權。我的主要目的是禁用或卸載Solidcore,但一切並沒有我想像的那麼輕鬆,Solidcore依舊無法被禁用或卸載(其他軟體可被正常禁用或卸載)。
然後,只有一種方法禁用Solidcore /啟用其他軟體的安裝,這是「 組策略編輯器」。但是我沒有直接訪問gpedit。我用下面的方法來訪問gpedit:
Open Task manager-->File -->New task-->Type MMC and enter
打開微軟管理策略
In mmc File-->Add/Remove snap-in--> Select Group Policy Objects and click on add
現在,我能夠執行許多操作,例如啟用被鎖定的系統應用、訪問桌面、禁用Windows限制等等。如上所述,我的主要目的是禁用Solidcore,並在系統上運行任何windows的可執行性文件。
組策略編輯器提供了運行/鎖定Windows軟體的選項。設置如下:
Group Policy editor-->User Configuration > Administrative Templates > System
在右選項框有一個「不要運行特定windows應用程序」的選項。點擊它:
Edit-->Select Enabled-->Click on show list of disallowed applications--> 然後添加你想要鎖定的應用名稱(這裡我填的是solidcore)。然後點擊"Ok"。
為了使更改生效,我重啟了系統。同樣,你也可以使用該方法在windows上運行一些其他的軟體(例如惡意軟體等)。
※感測器大用處,分分鐘破解手機PIN碼
※如何發現Active Directory中的隱身管理員賬戶(一)
※開源Web伺服器GoAhead遠程代碼執行漏洞影響數十萬物聯網設備
※你的深度學習應用可能存在安全風險
TAG:嘶吼RoarTalk |