花式繞過McAfee本地防護規則

如今，許多企業或組織都會通過使用受限的windows環境來緩解攻擊。為了加強系統，會把很多功能都限制或者取消了，能使用的功能越來越少。

最近做滲透時，我發現有系統利用McAfee Solidcore保護，Solidcore可阻止用戶對系統進行任何更改，如安裝/卸載軟體，運行可執行文件，啟動應用程序等。

我所測試的系統（Windows 7）被系統管理員設置了登錄密碼，因此除了訪問登錄界面和重啟系統外，我無法訪問該系統任何其他的功能。

為此，我花了近一個禮拜的時間來收集關於該應用和系統的信息，其中包括使用社會工程學的手段。最終，我通過Google dork獲取到了管理員的登錄憑據。

成功登錄目標系統後，我發現主機的大多數功能依舊無法被正常訪問。該應用程序設計得非常的好，對用戶的訪問許可權做了較為嚴格的管控。

但該應用程序有一個選項允許用戶列印文檔，這意味著我們可以訪問主機的文件資源管理器。

Print-->printer settings-->add a printer-->location-->browse location

每個Windows文件瀏覽器都有一個Windows幫助選項，可以從幫助選項打開命令提示符。

在調出cmd後，在cmd中依舊無法正常訪問一些其他的Windows應用，並且也無法在系統中做任何更改操作（即使是打開一個記事本）。每當我試圖打開某個應用時，均會出現以下報錯信息：

從報錯信息可以看出應用程序被Solidcore阻止，我對此並沒有任何訪問許可權。我們需要從註冊表或組策略編輯器中才能啟用它。但由於Solidcore的限制，我使用以下批處理腳本修改註冊表項並啟用任務管理器（雖然我並不確定，報錯的真正原因是否和註冊表或組策略編輯器有關）

在成功執行批處理腳本後，我獲取到了任務管理器以及控制面板的訪問許可權。我的主要目的是禁用或卸載Solidcore，但一切並沒有我想像的那麼輕鬆，Solidcore依舊無法被禁用或卸載（其他軟體可被正常禁用或卸載）。

然後，只有一種方法禁用Solidcore /啟用其他軟體的安裝，這是「 組策略編輯器」。但是我沒有直接訪問gpedit。我用下面的方法來訪問gpedit：

Open Task manager-->File -->New task-->Type MMC and enter

打開微軟管理策略

In mmc File-->Add/Remove snap-in--> Select Group Policy Objects and click on add

現在，我能夠執行許多操作，例如啟用被鎖定的系統應用、訪問桌面、禁用Windows限制等等。如上所述，我的主要目的是禁用Solidcore，並在系統上運行任何windows的可執行性文件。

組策略編輯器提供了運行/鎖定Windows軟體的選項。設置如下：

Group Policy editor-->User Configuration > Administrative Templates > System

在右選項框有一個「不要運行特定windows應用程序」的選項。點擊它：

Edit-->Select Enabled-->Click on show list of disallowed applications--> 然後添加你想要鎖定的應用名稱(這裡我填的是solidcore)。然後點擊"Ok"。

為了使更改生效，我重啟了系統。同樣，你也可以使用該方法在windows上運行一些其他的軟體（例如惡意軟體等）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！