记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【笔记】基于白名单策略限制的绕过思路

2015-08-30 12:45

Ps:
在渗透过程中讨论的当然是极端环境.不过仔细想了想“白利用”真是一个在所有基于白名单策略下都适用的绕过方式。
1.Bit9,AppLocker这类基于非黑既白策略的绕过思路mubix大牛发了一篇《Application Whitelist Bypass Using IEexec.exe》阐述了利用思路。
2.组策略中的软件策略限制一些程序的执行,NP大牛在某个场景下利用Perl(处在非限制路径中)加载了个DLL来调用某些功能。扩展一下,组策略其实是一个弱防御,高权限下根本没有神马防御效果,低权限下也会各种有纰漏。拓展开来作为可以用作解释性执行的程序其实有很多,最基本的比如cscript.exe和wscript.exe等,还有Powershell等,如果装了类似Python或者Ruby是不是也能用来调用DLL或者解释性执行一些与系统有关的功能呢?(以前确实不知道,NP大牛这个思路确实给了一些启示)
3.各种绕过UAC的思路除了已经公布的sysprep.exe的方式还有很多,比如你观察一下在安装程序的时候弹出UAC,但是为什么在添加与删除的程序中删除软件就没有弹呢?
4.某些RAT的加载技术来绕过主动防御,现在应该已经应用的比较广泛了。

综上所述,“白利用”的思想就是你如何去寻找那些白名单的程序,实际上一个系统中这样的程序应该是包罗万象的。
所以还有很多值得探索的地方呀…

另外推一篇比较有启发性质的Bit9绕过尝试
http://blogs.technet.com/b/heyscriptingguy/archive/2013/06/25/use-powershell-to-interact-with-the-windows-api-part-1.aspx

欢迎更多有趣的讨论…

参考:
http://www.room362.com/blog/2014/01/16/application-whitelist-bypass-using-ieexec-dot-exe/
http://search.cpan.org/~acalpini/Win32-API-0.41/API.pm
https://docs.python.org/2/library/ctypes.html
http://proger.i-forge.net/Calling_DLL_functions_from_Ruby/OSS
http://blogs.technet.com/b/heyscriptingguy/archive/2013/06/25/use-powershell-to-interact-with-the-windows-api-part-1.aspx
http://x1a0ran.blog.com/2012/09/23/writing-backdoors-to-bypass-anti-virus-and-app-whitelisting-for-fun-and-for-profit/

知识来源: www.blackh4t.org/archives/1490.html

阅读:207507 | 评论:0 | 标签:网络安全

想收藏或者和大家分享这篇好文章→复制链接地址

“【笔记】基于白名单策略限制的绕过思路”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词