瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » DEMO:绕过 AppLocker 执行任意程序
FlowerCode - 2010-1-4 13:32:00
查阅了不少资料写出来的,呵呵。

此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,
理论上还可以绕过传统的组策略限制(SRP)执行任意程序。

附件: BypassRestrictions.zip
baohe - 2010-1-4 13:36:00


引用:
原帖由 FlowerCode 于 2010-1-4 13:32:00 发表
查阅了不少资料写出来的,呵呵。

此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,
理论上还可以绕过传统的组策略限制(SRP)执行任意程序。



这个级别的UAC 被绕过了。








绕过APPLOCKER 或组策略?它没戏。


byxxdrls - 2010-1-4 13:38:00
楼主的程序不是自己绕过组策略,而是由它调用的程序能绕。
baohe - 2010-1-4 13:41:00


引用:
原帖由 byxxdrls 于 2010-1-4 13:38:00 发表
楼主的程序不是自己绕过组策略,而是由它调用的程序能绕。





【此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,】
初殇 - 2010-1-4 13:43:00
测试已经通过。不过关键是如何才能保证该程序自己运行起来。如果能保证该程序自己运行起来,APPLOCKER真的没戏了。
FlowerCode - 2010-1-4 13:44:00


引用:
原帖由 baohe 于 2010-1-4 13:41:00 发表


引用:
原帖由 byxxdrls 于 2010-1-4 13:38:00 发表
楼主的程序不是自己绕过组策略,而是由它调用的程序能绕。





【此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,】



是“绕过软件限制策略执行任意程序”,而不是“不受软件限制策略影响而运行”。若真是那样也不会公布出来了,呵呵。
baohe - 2010-1-4 13:45:00


引用:
原帖由 初殇 于 2010-1-4 13:43:00 发表
测试已经通过。不过关键是如何才能保证该程序自己运行起来。如果能保证该程序自己运行起来,APPLOCKER真的没戏了。

我就是用APPLOCKER阻止它的。


此程序运行方式:桌面双击运行。UAC无提示。
初殇 - 2010-1-4 13:48:00
第一步,建立规则。禁止PLA.EXE运行


第二步,把FC的程序加入白名单,即让该程序正常运行

第三步,通过该程序调用PLA,PLA成功运行!
初殇 - 2010-1-4 13:58:00
猫叔请进~已经传好!
天月来了 - 2010-1-4 14:00:00
这问题呀,估计还要折腾几贴baohe才懂,嘿嘿:kaka12:
baohe - 2010-1-4 14:02:00
我也发一组图:kaka12:



















baohe - 2010-1-4 14:04:00


引用:
原帖由 天月来了 于 2010-1-4 14:00:00 发表
这问题呀,估计还要折腾几贴baohe才懂,嘿嘿:kaka12:  



你懂?


你实际操作了?
初殇 - 2010-1-4 14:08:00


引用:
原帖由 baohe 于 2010-1-4 14:02:00 发表
我也发一组图:kaka12:

好神奇,那就是我的规则有问题。还望猫叔指导一下。
baohe - 2010-1-4 14:09:00
路径规则与哈希规则的区别
byxxdrls - 2010-1-4 14:11:00
初殇也是用的哈希规则呀?
baohe - 2010-1-4 14:15:00


引用:
原帖由 byxxdrls 于 2010-1-4 14:11:00 发表
初殇也是用的哈希规则呀?



让他运行一个非%windows%和%program files%路径下的.exe看看结果
初殇 - 2010-1-4 14:18:00
猫叔没有看我的截图嘛!路径指向在E:\Test Panel\PLA.exe:kaka12:
FlowerCode - 2010-1-4 14:25:00


引用:
原帖由 baohe 于 2010-1-4 14:02:00 发表
我也发一组图:kaka12:





错误2 = 系统找不到指定文件,似乎和 AppLocker 无关。


//
// MessageId: ERROR_FILE_NOT_FOUND
//
// MessageText:
//
// The system cannot find the file specified.
//
#define ERROR_FILE_NOT_FOUND             2L
天月来了 - 2010-1-4 14:33:00
我也试试,找个程序,设置散列规则



然后我们去启动试试



结果运行正常

baohe - 2010-1-4 14:37:00


引用:
原帖由 FlowerCode 于 2010-1-4 14:25:00 发表



错误2 = 系统找不到指定文件,似乎和 AppLocker 无关。


//
// MessageId: ERROR_FILE_NOT_FOUND
//
// MessageT

















FlowerCode - 2010-1-4 14:42:00
//
// MessageId: ERROR_ELEVATION_REQUIRED
//
// MessageText:
//
// The requested operation requires elevation.
//
#define ERROR_ELEVATION_REQUIRED         740L

想运行本身就需要通过 UAC 来提升权限的程序的话,还是要先通过 UAC 提升此程序的权限的(不然就成了可以绕过 UAC 的程序了)。
baohe - 2010-1-4 15:18:00
禁止此程序的下面三个动作:

BypassRestrictions.exe
Access:Open service


BypassRestrictions.exe
Access:Open file search
Object:C:\WINDOWS\system32\rundll32.exe



BypassRestrictions.exe
Access:Injecting code into other processes
Object:CreateProcessAsUserW

结果:











FlowerCode - 2010-1-4 15:23:00


引用:
原帖由 baohe 于 2010-1-4 15:18:00 发表
禁止此程序的下面三个动作:

BypassRestrictions.exe
Access:Open service


BypassRestrictions.exe
Access:Open file search
Object:C:\WINDOWS\system32\rundll32.exe



BypassRestrictions.exe
A......

没发现 AppLocker 有这么细化的权限控制,还请 baohe 大版主指教。
前两个操作应该是“打开文件”对话框自动调用的,后面一个是创建进程的操作。
baohe - 2010-1-4 15:30:00


引用:
原帖由 FlowerCode 于 2010-1-4 15:23:00 发表
没发现 AppLocker 有这么细化的权限控制,还请 baohe 大版主指教。
前两个操作应该是“打开文件”对话框自动调用的,后面一个是创建进程的操作。
 



是的,APPLOCKER 确实没有这些控制。
闪电风暴 - 2010-1-4 20:52:00
FC的帖子必须留名
Milka - 2010-6-10 18:05:00
楼主能不能发个源码?
1
查看完整版本: DEMO:绕过 AppLocker 执行任意程序
© 2000 - 2025 Rising Corp. Ltd.