欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全防护正文

绕过AppLocker系列之弱途径划定规矩的应用

de64384a174e12dc2017-07-224技术

默许情况下,AppLocker划定规矩许可Windows文件夹和Program 文件夹内的一切文件实行,不然体系将没法一般运转。 若是这些文件夹中没有设置恰当的权限,攻击者就可以或许应用此权限绕过AppLocker。

默许情况下,Windows 情况(Windows Server 2008 R2中进行了搜检),许可体系的规范用户在这些文件夹中具有读写权限:

C:WindowsTasks
C:WindowsTemp
C:Windowstracing

accesschk对象可用于肯定 “Users”用户组是不是具有Windows文件夹内的RW权限。

1498027594246521.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第1张 1498027594246521.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第1张

Windows文件夹的弱权限

下一步是将二进制文件放入具有弱权限的文件夹中并实行它。在本文的演示中,可实行文件是一个正当的应用程序——accesschk64。

1498027601128195.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第3张 1498027601128195.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第3张

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

AppLocker – 将二进制文件放到弱文件夹中

由于AppLocker划定规矩许可Windows文件夹中包罗的文件可以或许实行,以是该应用程序可以或许一般运转。 不然它将被AppLocker划定规矩阻挠。

1498027606708736.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第5张 1498027606708736.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第5张

AppLocker 的默许划定规矩

1498027612492923.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第7张 1498027612492923.png 绕过AppLocker系列之弱途径划定规矩的应用  技术 第7张

AppLocker Bypass – 弱途径划定规矩

结论

默许完成AppLocker并不能供应任何安全措施,由于它可以或许被轻松的绕过。 由于AppLocker默许情况下信托Microsoft署名的二进制文件和Windows文件夹,因而必需评价可实行代码的权限和可信托的二进制文件,以便可以或许有用的珍爱Windows生态体系。

本文翻译自:https://pentestlab.blog/2017/05/22/applocker-bypass-weak-path-rules/ ,如若转载,请说明来源于嘶吼: http://www.4hou.com/technology/5641.html----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

网友评论