您现在的位置是:首页 > 密码破解

乱用目录泄露以绕开运用授权管理

作者:果E安全网时间:2020-10-23 23:58:22分类:密码破解

简介周,我还在BsidesCharm2019上展现了雷达探测下的COM:避开运用操纵解决方法。在演试中,我简略探讨了COM并注重了一些绕开Windows运用操纵解决方法的技术性。在其中一种技术性利用了目录环境卫生难题,在其中旧编码一般在Windows的升级版本中维持签名。在这篇小短文中,大家将探讨目录泄露,运用授权管理(AW

周,我还在BsidesCharm 2019上展现了雷达探测下的COM:避开运用操纵解决方法。在演试中,我简略探讨了COM并注重了一些绕开Windows运用操纵解决方法的技术性。在其中一种技术性利用了目录环境卫生难题,在其中旧编码一般在Windows的升级版本中维持签名。

在这篇小短文中,大家将探讨目录泄露,运用授权管理(AWL)旁通做为乱用的媒体和保护性考虑到要素。

目录泄露

编码签名是一种普遍选用的技术性,用以认证文件一致性和真实有效。在Windows中,Authenticode是一种编码签名技术性,致力于协助客户保证 谁具体建立了她们已经运作的编码......并认证编码在公布后是不是未被变更或伪造“(Digicert))。Microsoft以二种方法完成Authenticode:

内嵌式 - Authenticode签名blob具体储存在文件中。

目录文件 - 包括文件指纹识别目录的文件是Authenticode签名(Microsoft Docs)。

Windows中的很多“签名”文件事实上是目录签名的。这种“签名”文件事实上不包含Authenticode签名blob。反过来,文件事实上是“由代理商签名”,在其中文件的指纹识别(散列)具体储存在目录文件自身中。应用PowerShell的Get-AuthenticodeSignature cmdlet 明确文件是不是已签名及其应用哪样方式的简易方式:

1.png

趣味的是,我近期发觉微软公司“代管”目录文件在关键修复程序流程恶性事件产生后的电脑操作系统搭建全过程中不容易(一致地)维护保养。这代表着在初期版本的电脑操作系统版本(比如Windows 10版本1803 Build 17134.1)中签名的编码(比如二进制文件,脚本制作等)在升级时很有可能依然合理(比如,Windows 10版本1803 Build 17134.472)。简单点来说,这一发觉容许再次导入旧的,易受攻击的编码。使我们探讨一个乱用的矢量素材:AWL Bypass。

运用授权管理旁通

1月份,我还在blog上发布了有关 CVE-2018-8492的文章内容,这是一个Windows Defender运用系统控制(Device Guard)绕开,它容许应用XMLcss样式表变换实行未签名的scriptlet编码。在Windows锁住对策(WLDP)下,能够实例化Microsoft.XMLDOM.1.0(Microsoft.XMLDOM)COM目标,而且能够在修复以前浏览和启用“易受攻击”的transformNode 方式 -

2.png

Microsoft.XML身后的二进制网络服务器MSXML3.DLL于2018年十一月开展了修复(更换)。变成宣布的安全性界限后,transformNode方式没法再启用scriptlet编码 -

3.png

在搭建新的WDACvm虚拟机时,我想起了一个功能测试(难题) - 我是不是能够再次导入旧编码来“播放”进攻来绕开同样的安全管理?

在拷贝了一些这种二进制文件(在本例中为MSXML3.dll以及依靠项)以后,我发现了同一搭建系列产品中的之前版本的总体目标二进制文件事实上依然是目录签名的,因而依然受电脑操作系统信任感 -

4.png

*留意:在一些状况下,易受攻击的二进制文件事实上很有可能仍停留在WinSxS目录中

在以前的贴子中,我还在blog上写了有关COM Hijacking的內容,这好像是一种利用这一目录文件签名发觉的和蔼可亲的方式。您很有可能你是否还记得,大部分COM类(元)数据信息都储存在已申请注册COM组件的HKEY_LOCAL_MACHINE \\ SOFTWARE \\ CLASSES \\ CLSID(HKLM)注册表项构造中。此数据库事实上已合拼到HKEY_CLASSES_ROOT \\ CLSID(HKCR)中。趣味的是,网络攻击能够根据在HKEY_CURRENT_USER \\ SOFTWARE \\ CLASSES \\ CLSID(HKCU)中再次建立相近的构造来遮盖这种值。合拼到HKCR时,这种值优先选择并遮盖HKLM值。针对大家的功能测试,我们可以根据导出来Microsoft.XMLDOM.1.0 COM类的HKLM类ID(CLSID)子键构造来利用这一点,变更必需的值以导进HKCU,

5.png

将密匙导回注册表文件后,变更的密匙值将合拼到HKCR中 -

6.png

在进行全部必需的变更后,大家只需回播最开始进攻的流程并观查結果 -

7.png

取得成功!大家证实了我们可以利用目录环境卫生难题并应用旧的签名编码中间人攻击以绕开WDAC。

保护性考虑到

Microsoft挑选根据向WDAC强烈推荐的块标准对策加上好多个违反规定DLL的新标准来处理此汇报的难题,而不是根据修复处理关键难题。虽然这一行動将阻拦一些已经知道的避开技术性,但目录环境卫生依然是一个难题。别的很有可能存有乱用的媒介依然存有,比如WDAC旁通技术性。不管怎样,假如在您的机构内应用此AWL解决方法,仍提议将阻拦标准合拼到您的WDAC对策中。

检验COM被劫持很有可能十分艰难,实际在于自然环境中的由此可见性及其执行的EDR解决方法的追踪配备/作用。监控已变更的注册表项(尤其是COM类目标和InprocServer32 / LocalServer32项)很有可能很有效(尤其是假如更换的二进制文件坐落于典型性的System32 / SysWow64目录途径以外)。一些趣味的“Active Scripting”二进制文件必须留意的是scrobj.dll,msxml3.dll,msxml6.dll,mshtml.dll,wscript.exe和cscript.exe。

此网络文章中的很多同样提议仍适用处理WDAC差别难题。提升由此可见性以发觉Active Scripting,PowerShell和COM目标实例化乱用是肯定重要的。

上一篇乱用DCOM开展另一种侧面运作技术性下一篇Nmap指令应用待办单

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句