渗透测试中的Application Compatibility Shims

Application Compatibility是一个框架，主要用来解决应用程序在版Windows系统上的兼容性问题。然而在渗透测试中它却有着更多的用处，本文将对公开资料进行整理，介绍在渗透测试中的具体利用技术，帮助大家更好的认识它，防御它。

Shim：

相当于是在应用程序和Windows API之间的逻辑层。

当应用程序创建进程的时候，WindowsLoader首先会检查sysmain.sdb（位于%windir%AppPatch），如果存在已注册的sdb文件，IAT将被重定向到Shim，实现功能替换。

本文将介绍以下内容：

创建Shim文件
实际利用方法
相关开源工具
检测和防御

2，创建Shim文件

1.Microsoft Application CompatibilityToolkit(ACT)

下载地址：https://www.microsoft.com/enus/download/details.aspx?id=7352

默认修复方式种类个数为365

启动时加入/x 参数可获得更多修复方式，总数807

根据提示创建后生成.sdb文件，需要安装使其生效

可在Microsoft Application Compatibility Toolkit中直接选择安装，如图

1.Hiding in the Registry

选择VirtualRegistry

Command line填入：

ADDREDIRECT(HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun^HKL
MSOFTWAREMicrosoftWindowsCurrentVersionRunHidden)

安装shim

启动regedit

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下键值无法查看,如图

但在cmd下执行如下命令可以查看：

reg query HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

2.Hiding in the File System

选择CorrectFilePaths

Command line填入：

c:test;c:users

Module name 填入*.exe ,点击add

安装shim

启动cmd.exe，无法查看c:test下的文件

注：类似的还有VirtualizeDeleteFile 和RedirectShortcut

3.Persistence

可供选择的Fix有：

InjectDll
LoadLibraryRedirect
RedirectShortcut
RedirectEXE
ShimViaEAT
LoadLibraryfromCWD
Hijacking DLL

可供选择的Fix有：

Disable NX
Disable ASLR
DisableSEH
Prevent the Loading of DLLs
Disable Windows Resource Protection
Elevate to Administrator
DisableWindowsDefender
DisableAdvancedRPCClientHardening

1.sdbinst.exe

用来安装和卸载.sdb文件

微软官方提供，默认位于c:windowssystem32下，运行需要管理员权限

usage:

-? - print this help text.
-p - Allow SDBs containing patches.
-q - Quiet mode: prompts are autoaccepted.
-u - Uninstall.
-g - {guid} GUID of file (uninstall only).
-n - “name” Internal name of file (uninstall only).

卸载：

sdbinst.exe - u - n “name”

安装过程中sdbinst.exe做了如下操作：

在如下注册表位置创建键值保存Shim信息：

HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionAppCompatFlagsCustom
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionAppCompatFlagsInstalledSDB

C:WindowsAppPatchCustom
C:WindowsAppPatchCustomCustom64

添加到已安装的应用程序列表中

依次打开控制面板-程序-程序和功能-卸载程序，可看到安装的Shim名称

2.sdbexplorer

下载地址：https://github.com/evile/sdbexplorer

同样可用来安装.sdb文件，相比于sdbinst.exe多了如下特征：

源代码开源
支持InMemory
patch
安装过程不将sdb文件复制到C:WindowsAppPatchCustom下
安装过程不在已安装的应用程序列表中显示安装的Shim名称

usage:

Print full sdb tree
sdbexplorer.exe-t filename.sdb
Print patch details
sdbexplorer.exe [i]-p filename.sdb (patch | patchid | patchref |patchbin)-i-create
IDAPython Script (optional)
Print patch details for checksum
sdbexplorer.exe [i]-s filename.sdb
Create file containing the leaked memory
sdbexplorer.exe -l filename.sdb
Print Match Entries
sdbexplorer.exe - d filename.sdb
Create Patch From file
sdbexplorer.exe -C config.dat [o filename.sdb]
Register sdb file
sdbexplorer.exe - r filename.sdb [aapplication.exe]
Display usage
sdbexplorer.exe - h

演示如图

执行以下命令注册sdb文件：

sdb-explorer.exe -rC:UsersaDesktoptest1.sdb -a putty.exe

注：

-a的参数指定程序的名称，不能填入程序的绝对路径

通过sdbexplorer.exe注册的sdb文件无法通过sdbinst.exe来删除，会显示sbd文件不存在，如图

卸载可通过删除注册表键值的方式实现

注：通过sdbexplorer可以创建一个InMemory patch的shim，接着编译成sdb文件，进而安装使用，关于InMemory patch的学习心得将在以后分享

In Memory patch：

可以替换或写入内存中的某个区域的任意字节
可用来绕过应用程序白名单

1.sdb2xml

从.sdb文件提取出xml格式的数据，可用来分析sdb文件

作者：Heath Stewart

下载地址：https://blogs.msdn.microsoft.com/heaths/2007/11/03/shimdatabasetoxml/

usage:

sdb2xml sdb [out report] [base64 | extract] [?]
sdb Path to the shim database to process.
base64 Base64 encode data in the XML report.
extract Extract binary data to current or reportdirectory.
out report Path to the XML file to generate;otherwise, output to console.

如图，使用sdb2xml查看test1.sdb文件中的数据

2.Compatibility Database Dumper (CDD)

作者：Alex Ionesceu

usage:

cdd.exe [s][e][l][f][p][dkernelmodedatabase file][ausermode database file]
s Show shims
e Show executables
l Show layers
f Show flags
p Show patches
d Use Blocked Driver Database from this path
a Use Application Compatibility Database fromthis path

参考地址：http://www.alexionescu.com/?p=40

但作者Alex Ionescu目前尚未将其开源

3.Shim Database Tool (sdb)

作者：Jochen Kalmbach

下载地址：http://blog.kalmbachsoftware.de/2010/02/22/theshimdatabase/

注：该工具源代码开源

Usage:

sdb.exe [noids][match][PathToShimDatabse] [PathToFileName]
noids Will prevent the output of the TagIds
match Will match the provided file with theinstalled databases
and displays the activated shims
In this case ‘PathToFileName’ is required
NOTE: If no shim database path is provided,
the default database will be used.

显示指定程序是否被添加Shim，如图，找到putty.exe已被添加了一个Shim，guid

为8F9DA6E2-5A7C-41E1-B89F8B72D63DEBA8

禁用Shim的方法：

英文系统：

打开gpedit.msc，选择Administrative TemplatesWindows ComponentsApplication

CompatibilityTurn off Application Compatibility Engine

中文系统：

打开gpedit.msc，选择计算机配置-管理模板Windows组件-应用程序兼容性-关闭应用程序兼容性引擎

但不建议关闭Shim，原因如下：

导致EMET无法使用

无法更新补丁

检测和防御：

AutoRuns不会检测到Shim
Shim的安装需要管理员权限，注意权限控制
监控特定注册表键值
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionAppCompatFlagsCustom
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionAppCompatFlagsInstalledSDB
注意系统中未签名的sdb文件
使用检测脚本，如https://github.com/securesean/ShimProcessScanner和https://github.com/securesean/ShimProcessScannerLite

本文对Application Compatibility Shims在渗透测试中的相关技巧做了整理，希望对大家有所帮助。对于InMemory patch，值得研究的还有很多，学习心得将在以后分享。

更多关于Shim的研究资料可访问：http://sdb.tools/index.html

本文参考链接：

http://blacksunhackers.club/2016/08/postexploitationpersistencewithapplicationshimsintro/
https://www.blackhat.com/docs/asia14/materials/Erickson/Asia14EricksonPersistItUsingAndAbusingMicrosoftsFixItPatches.pdf
http://www.irongeek.com/i.phppage=videos/derbycon3/4206windows0wn3dbydefaultmarkbaggett
http://sdb.io/ericksoncodeblue.pdf