Dalam tutorial ini, kita hanya akan berbicara tentang batasan yang paling sering digunakan di lingkungan dunia nyata yaitu aturan tentang executable, installer, dan skrip.

Untuk masing-masing dari lima kategori yang disebutkan di atas, kita dapat menentukan aturan yang mengatur penggunaannya berdasarkan tiga kriteria:

• Jalur eksekusi : misalnya aturan Applocker default mengizinkan semua skrip dan eksekusi yang ada di “ C:\Windows ” dan “ C:\Program Files ”. Itu harus dilakukan – setidaknya untuk beberapa program – jika tidak, sistem akan mengalami masalah booting.

• Informasi penerbit: beberapa executable (biner Windows misalnya) ditandatangani menggunakan kunci publik vendor. Applocker dapat mengandalkan informasi ini untuk menolak/mengizinkan executable untuk dijalankan. Fitur ini jarang digunakan.
• File hash: Applocker menyimpan hash MD5 dari file yang diizinkan (atau dilarang). Setiap kali sebuah program berjalan, Applocker memeriksa MD5-nya dan memutuskannya. Aturan-aturan ini dapat menghabiskan banyak memori, sehingga sebagian besar digunakan untuk melarang beberapa executable yang "berbahaya".

Ini mungkin tampak seperti banyak tombol untuk diubah. Dia. Mengkonfigurasi Applocker bukan untuk menjadi lemah hati. Untuk membuat tutorial ini paling menarik, kita akan mulai dengan konfigurasi dasar dan mengeraskannya saat kita

meningkatkan keterampilan peretasan kita. Mari kita mulai!

Pengaturan naif

Katakanlah seorang admin mengatur aturan Applocker default saja: tidak ada pengguna standar yang diizinkan untuk menjalankan file (dapat dieksekusi, penginstal, atau skrip) di luar folder klasik " C:\ Windows " dan " C:\Program files ". Bagaimana cara menjalankan meterpreter.exe pada mesin dengan akun standar yaitu tidak ada hak admin pada kotak?

Salah satu cara untuk pergi adalah mencari folder yang diizinkan default dengan akses tulis. Idenya adalah menyalin file yang dapat dieksekusi ke folder yang diizinkan, lalu meluncurkannya dari sana. Lurus ke depan. Melakukannya secara manual membutuhkan sedikit waktu, jadi bagaimana dengan skrip PowerShell otomatis ?

Pembatasan jalur eksekusi juga berlaku untuk skrip dalam kasus ini, jadi kita harus pandai dalam hal ini. Pertama, kami memuat konten skrip menggunakan perintah Get-Content , mengonversinya menjadi string lalu meneruskannya ke perintah Invoke-Expression yang menjalankannya, tanpa pertanyaan!

Pada instalasi Windows default, " C:\Windows\Tasks " dan " C:\Windows\tracing " biasanya muncul sebagai dapat ditulisi oleh semua orang! Menyalin executable kami (mimikatz.exe, meterpreter.exe, dll.) di sana misalnya melewati penguncian Applocker default:

Orang mungkin berpendapat, cukup benar, bahwa file .exe dinilai terlalu tinggi dan bahwa kami dapat melakukan semua serangan dengan alat Windows paling kuat PowerShell . Itu sangat benar dan dengan menggunakan Invoke-Expression kami melewati batasan jalur eksekusi apa pun. Namun, ada beberapa kasus ketika kita perlu menjalankan file exe sederhana karena sesederhana itu: malware yang dikompilasi ulang, alat khusus, dll.

Jika kami tidak dapat menemukan direktori yang dapat ditulis yang diizinkan di Applocker, kami perlu menggunakan cara lain untuk menjalankan file yang dapat dieksekusi. Salah satu metode tersebut adalah memuat file .exe di memori, lalu meluncurkannya dengan melompat ke titik masuknya. Tidak ada jalur eksekusi, tidak ada aturan Applocker yang dipicu!

Kami pertama-tama menyimpan mimikatz.exe yang dapat dieksekusi dalam hal ini, dalam variabel PowerShell:

PS > $ByteArray = [System.IO.File]::ReadAllBytes("C:\users\richard\desktop\mimikatz.exe");

Kemudian gunakan fungsi Invoke-ReflectivePEInjection dari kerangka PowerSploit untuk memuatnya di memori dan melompat ke titik masuknya.

PS > Invoke-expression(Get-Content .\Invoke-ReflectivePEInjection.ps1 |out-string)

PS > Invoke-ReflectivePEInjection -PEBytes $ByteArray

Dengan demikian, kami dapat secara efektif melewati aturan Applocker apa pun berdasarkan jalur Eksekusi.

Mengencangkan pegangan

Admin kami yang cerdas tahu bahwa konfigurasinya memiliki beberapa lubang. Dia memperketat cengkeramannya sedikit lebih jauh dengan membatasi akses ke alat dasar Microsoft seperti cmd.exe dan PowerShell.exe.

Kami tidak dapat menggunakan skrip khusus (skrip .cmd, .js atau .vbs) untuk mengeksekusi kode karena hanya diizinkan untuk dijalankan dari folder yang dibatasi (aturan sebelumnya). Tapi, ingat masalah utama daftar hitam: kami selalu melewatkan sesuatu!

Dalam hal ini misalnya, admin menolak alat Windows 64-bit klasik tetapi benar-benar lupa tentang file 32-bit di folder “ C:\Windows\SysWOW64\ ”. Untuk mengeksekusi PowerShell misalnya, kami cukup menjalankannya dari folder itu.

Setelah kami memiliki akses ke prompt PowerShell, kami dapat memuat file yang dapat dieksekusi dan skrip di memori dan menjalankannya seperti yang kita lihat sebelumnya.

Selain itu, melakukan pencarian untuk powershell.exe di sistem biasanya menghasilkan versi lain dari file ini mungkin memiliki hash yang berbeda dari yang dilarang oleh Applocker:

Katakanlah admin melacak dan membuat daftar hitam setiap contoh powershell.exe, powershell_ise.exe, cmd.exe… apakah kita sudah selesai? Tidak terlalu. Ada cara lain untuk mengeksekusi kode di Windows. Panggilan Prosedur Jarak Jauh misalnya menyediakan cara alternatif untuk berinteraksi dengan sistem tanpa menggunakan alat baris perintah klasik. Utilitas “ C:\Windows\System32\wbem\wmic.exe ” dapat digunakan untuk melakukan tindakan tersebut.

Tentu kami tidak dapat menelurkan prompt PowerShell melalui WMIC, tetapi masih menawarkan lingkungan untuk mendapatkan informasi menarik tentang sistem untuk melakukan eskalasi hak istimewa:

Anda dapat menemukan daftar lengkap perintah WMI di link berikut .

Terkunci

Sumber: Hacking Tutorial.com