如何在后渗透阶段绕过应用程序控制策略 – 作者:Alpha_h4ck

关于Evasor

Evasor是一款专为蓝队和红队研究人员设计的安全工具，该工具可以用于渗透测试任务中的后渗透接断，并能够帮助研究人员绕过APPLICATIONCONTROL策略。

本质上来说，Evasor是一款自动化的安全审计工具，该工具能够绕过任意应用程序控制规则，支持在Windows操作系统上运行。该工具易于使用，运行速度也非常快，可以自动化生成分析报告，其中包含任务描述、截图和缓解方案建议。

工具要求

Windows操作系统；

Visual Studio 2017；

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/cyberark/Evasor.git

工具使用样例

下载并编译完成Evasor项目源码之后，我们需要在引用数种找到App.config文件，以验证项目的执行：

在项目的bin目录下运行Evasor.exe，根据你的需要选择对应任务的数字选项：

首先，找到能够用于绕过应用程序控制的可执行文件。这里我们可以通过下列两种方式实现：

检索所有正在运行进程的相关路径；

检查每一个进程，判断是否存在DLL注入漏洞：运行“MavInject”微软组件，路径为“C:\Windows\System32\mavinject.exe”。或者，检查MavInject执行的退出代码，如果进程存在，则说明该进程存在DLL注入漏洞，可以用于实现应用程序控制绕过；

接下来，定位存在DLL劫持漏洞的进程：

检索所有正在运行的进程；

针对每一个正在运行的进程：获取已加载的进程模块；通过创建空文件判断是否拥有正在运行进程所在目录的写入权限，文件命名为已加载模块（DLL）；如果写入操作成功，则说明存在DLL劫持漏洞；

最后，定位潜在的可劫持资源文件：

搜索目标设备上的指定文件；

尝试替换该文件，以验证文件是否可替换，判断是否存在资源劫持漏洞；

支持的扩展名:xml、config、json、bat、cmd、ps1、vbs、ini、js、exe、dll、msi、yaml、lib、inf、reg、log、htm、hta、sys、rsp；

生成自动化审计Word文档报告，包含测试描述和运行截图；

项目地址

Evasor：【GitHub传送门】

许可证协议

本项目的开发与发布遵循Apache License 2.0开源许可证协议。

参考资料

https://github.com/cyberark/conjur-api-go/blob/master/CONTRIBUTING.md

https://github.com/cyberark/

来源：freebuf.com 2021-05-05 15:46:29 by: Alpha_h4ck