如何在后渗透阶段绕过应用程序控制策略 – 作者:Alpha_h4ck

图片[1]-如何在后渗透阶段绕过应用程序控制策略 – 作者:Alpha_h4ck-安全小百科

关于Evasor

Evasor是一款专为蓝队和红队研究人员设计的安全工具该工具可以用于渗透测试任务中的后渗透接断,并能够帮助研究人员绕过APPLICATIONCONTROL策略。

本质上来说,Evasor是一款自动化的安全审计工具,该工具能够绕过任意应用程序控制规则,支持在Windows操作系统上运行。该工具易于使用,运行速度也非常快,可以自动化生成分析报告,其中包含任务描述、截图和缓解方案建议。

工具要求

Windows操作系统;

Visual Studio 2017;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/cyberark/Evasor.git

工具使用样例

下载并编译完成Evasor项目源码之后,我们需要在引用数种找到App.config文件,以验证项目的执行:

图片[2]-如何在后渗透阶段绕过应用程序控制策略 – 作者:Alpha_h4ck-安全小百科

在项目的bin目录下运行Evasor.exe,根据你的需要选择对应任务的数字选项:

图片[3]-如何在后渗透阶段绕过应用程序控制策略 – 作者:Alpha_h4ck-安全小百科

首先,找到能够用于绕过应用程序控制的可执行文件。这里我们可以通过下列两种方式实现:

检索所有正在运行进程的相关路径;

检查每一个进程,判断是否存在DLL注入漏洞:运行“MavInject”微软组件,路径为“C:\Windows\System32\mavinject.exe”。或者,检查MavInject执行的退出代码,如果进程存在,则说明该进程存在DLL注入漏洞,可以用于实现应用程序控制绕过;

接下来,定位存在DLL劫持漏洞的进程:

检索所有正在运行的进程;

针对每一个正在运行的进程:获取已加载的进程模块;通过创建空文件判断是否拥有正在运行进程所在目录的写入权限,文件命名为已加载模块(DLL);如果写入操作成功,则说明存在DLL劫持漏洞;

最后,定位潜在的可劫持资源文件:

搜索目标设备上的指定文件;

尝试替换该文件,以验证文件是否可替换,判断是否存在资源劫持漏洞;

支持的扩展名:xml、config、json、bat、cmd、ps1、vbs、ini、js、exe、dll、msi、yaml、lib、inf、reg、log、htm、hta、sys、rsp;

生成自动化审计Word文档报告,包含测试描述和运行截图;

项目地址

Evasor:【GitHub传送门

许可证协议

本项目的开发与发布遵循Apache License 2.0开源许可证协议

参考资料

https://github.com/cyberark/conjur-api-go/blob/master/CONTRIBUTING.md

https://github.com/cyberark/

来源:freebuf.com 2021-05-05 15:46:29 by: Alpha_h4ck

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论