跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

绕过windows附件管理器的有趣方式


剑道尘心

推荐的帖子

0x00 前言

最近看到rvrsh3ll@424f424f的一篇文章《Bypassing Windows Attachment Manager》,介绍了他绕过Windows附件管理器的想法。非常有趣。

我恰好对本文涉及的ADS和lnk文件的利用做了一些研究。所以基于我的经验,本文将介绍旁路方法,分享我在实际测试过程中发现的一个有趣的问题。

相关文章地址如下:

《Bypassing Windows Attachment Manager》 :

http://www . rvr sh3 ll . net/blog/informational/bypassing-windows-attachment-manager/

我以前的一些研究经历:

《渗透技巧——快捷方式文件的参数隐藏技巧》

《Hidden Alternative Data Streams的进阶利用技巧》

0x01 简介

本文将介绍以下内容:

Windows附件管理员角色

Windows附件管理器的实现

绕过Windows附件管理器的方法

专项档案建设

实际测试过程中发现的有趣问题

0x02 Windows Attachment Manager

简介

自WinXp SP2版以来微软推出的新功能

用于防止文件从不受信任的渠道下载,可以直接执行。

不可信的渠道包括电子邮件和互联网下载。

如果发现文件来自不可信途径,文件打开时会弹出一个框提示用户,需要用户确认后才能执行,如图。

2-1.png

标记为高风险的文件格式如下:阿德,adp,app,asp,bas,蝙蝠,cer,chm,cmd,com,cpl,crt,csh,exe,fxp,hlp,hta,inf,ins,isp,其,js,jse,ksh,lnk,疯了。maf,mag,妈妈。maq,三月。mas,mat,茂,mav,大嘴。mda,mdb,mde,mdt,mdw,mdz,理学硕士,微星,msp,mst,ops,pcd,pif,prf,prg,pst,注册,scf,scr,sct,shb,shs,tmp,url,vb,vbe,vbs,vsmacros,vss,vst,vsw,ws,wsc,wsf,wsh

详情请参阅:

https://support . Microsoft . com/en-us/help/883260/information-about-the-attachment-manager-in-Microsoft-windows

实现方式

不受信任的文件将被添加到ADS:Zone。标识符:下载时的数据。

广告详情如下:

[区域转移]

ZoneId=3

也就是说,只要ADS:Zone。标识符:$包含数据,文件打开时会用弹出框提示用户,需要用户确认后才能执行。

绕过思路

1、删除文件的ADS,那么在打开该文件的时候就不会弹框

对于小文件,您可以更多地使用Windows默认命令

对于大文件,您可以使用工具流。

注:

详情请咨询《Hidden Alternative Data Streams的进阶利用技巧》。

也可以通过界面操作,如下图所示,选择解锁。

2-2.png

2、改变传输途径

如果您将文件复制到另一个操作系统,原始文件的ADS将不会被保存。

也就是说,如果将之前下载的不可信文件以可信的方式复制到另一个操作系统,该文件在新系统中不会被标记为“不可信”。

例如:

从网上下载的文件Python-2.7.12.msi,添加了ADS:Zone。标识符:默认为:$DATA,打开时会弹出。

现在把文件拖入虚拟机(这个操作被认为是可信的方式,不会添加广告),原来的广告也不会保存,所以打开文件的过程中不会弹出框。

0x03 特殊文件的构造

因为不可信的文件会添加ADS:Zone。标识符:$DATA下载的时候,如果是压缩文件怎么办?解压后还会收录广告吗?

测试系统:Win10x64

服务器:Kali Linux

打开HTTP服务器功能:

python -m SimpleHTTPServer 80

1、尝试.exe+.rar

用WinRAR把putty.exe压缩成putty.rar,上传到HTTP服务器。

注:

Win10系统无法解压。rar文件,所以需要手动安装WinRAR。

测试系统通过Chrome下载putty.rar,如图所示。

3-1.png

用WinRAR解压并打开文件,不用弹框。

结论1:

压缩文件在。rar不会添加广告。

2、尝试.lnk+.rar

压缩lnk文件时,lnk指向的源文件会被直接压缩,lnk文件本身无法压缩,所以测试失败。

3、尝试.exe+zip

用WinRAR把putty.zip压缩成putty.zip,上传到HTTP服务器。

测试系统通过Chrome下载putty.zip。

通过Windows资源管理器打开zip文件,如下图所示

3-2.png

打开弹出框,提示用户,如下图所示

3-3.png

而用WinRAR解压打开文件,不弹出框。

结论2:

Windows附件管理器不支持WinRAR等第三方软件。

4、尝试.exe+cab

接下来,不需要测试需要第三方软件的压缩格式。您应该继续寻找Windows默认支持的格式。

比如。cab文件。

注:

Cab文件可以由makecab.exe生成,系统默认包括

压缩类型包括:none、mszip、lzx。

使用makecab将putty.cab压缩到putty.cab中,选择lzx作为压缩类型,命令如下:

make cab/d compression type=lzx putty.exe腻子. cab

3-4.png

上传到HTTP服务器

测试系统通过Chrome下载。

解压缩、保存文件、打开和弹出框。

将文件拖到任意路径,打开它,不要弹出框。

完整的测试过程如图所示。

2.gif

Gif在线地址:

https://raw . githubusercontent . com/3g student/BlogPic/master/2017-5-10/2 . gif

使用Procmon来监控这两个操作。区别如下图所示。在这里,我们需要继续学习,做更多的测试。

5-1.png

注:

Win10 Build 14393(1607)及之前的版本都有这个问题。Win10 Build 15063(1703)已经修复了此问题。

结论3:

使用cab压缩文件,然后拖动文件进行保存,可以绕过Windows附件管理器。

5、尝试.lnk+cab

注:

方法来自rvrsh3ll@424f424f的文章,但是我在测试的时候发现了另外一个有趣的问题。

使用makecab将test.lnk压缩到test.cab中,选择lzx作为压缩类型,命令如下:

makecab /d压缩type=lzx test.lnk test.cab

注:

Cab文件本身可以压缩lnk文件。为了增加混乱,您可以使用下面的测试代码:

在test.txt中编写以下内容:

/c开始calc.exe

Powershell代码:

$ file=Get-Content ' c:\ test \ test . txt '

$ wsh shell=New-Object-com Object WScript。壳

$Shortcut=$WshShell。create shortcut(' c:\ test \ test . lnk ')

$快捷方式。target path=' % SystemRoot % \ system32 \ cmd . exe '

$快捷方式。icon location=' % SystemRoot % \ System32 \ shell32 . dll,3 '

$快捷方式。Arguments=$file

$快捷方式。保存()

生成的lnk文件参数用空格字符填充,实际的有效负载是隐藏的,如下图所示

3-5.png

有关更多详情,请参考:

《渗透技巧——快捷方式文件的参数隐藏技巧》

将test.cab上传到HTTP服务器。

测试系统通过Chrome下载。

解压缩、保存文件、打开并弹出盒子(与测试4相同)

将文件拖到任意路径,打开它,不要弹出框(与测试4相同)

一个有趣的问题:

解压缩lnk文件,保存文件,打开它,然后弹出框。

然后右键查看lnk文件的属性,再次打开lnk文件,广告会被清除而不会弹出框。

完整的测试过程如图所示。

1.gif

Gif在线地址:

https://raw . githubusercontent . com/3g student/BlogPic/master/2017-5-10/1 . gif

结论4:

在某些特殊情况下(Win10 Build 14393(1607)之前的版本),会清除广告,可以绕过Windows附件管理器。

注:

Win10 Build 10586有这个问题,Win10 Build 14393(1607)修复了。

0x04 补充

Win7系统不存在上述问题,因为:

打开cab文件后,保存文件时会弹出一个框提示用户(这个功能Win10不存在)

4-1.png

0x05 小结

不受信任的文件将被添加到ADS:Zone。标识符:下载时的数据。

如果您将文件复制到另一个操作系统,原始文件的ADS将不会被保存。

与rar和zip格式相比,cab格式更适合压缩lnk文件。

Lnk文件更具欺骗性。

Win10 Build 15063(1703)已经修复了上述bug。

留下回复

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...