内容简介:Presentationhost.exe是一个内置的Windows可执行文件,用于运行当我们打开.xbap文件,它似乎是在IE中启动的应用程序,但代码实际上是在另一个进程(Presentationhost.exe)中运行,通常是在一个沙箱中以保护用户免受恶意代码的攻击。如果你熟悉注意,xbap可以请求不同的权限级别。为了执行潜在的恶意操作,应用程序必须请求从文件位置(即本地文件系统或网络共享)打开XBAP时可以执行的非限制性权限。如果应用程序请求权限过多,则尝试通过HTTP或FTP打开xbap将失败。有关
Presentationhost.exe是一个内置的Windows可执行文件,用于运行 XAML浏览器应用程序 (即.xbap文件)。在多个AppLocker白名单绕过列表中,Presentationhost.exe都位列其中(例如 api0cradl 和 milkdevil ),但在网上有关如何使用它的资料却少之又少。因此,我决定将自己的研究成果分享出来,以供大家学习和参考。
当我们打开.xbap文件,它似乎是在IE中启动的应用程序,但代码实际上是在另一个进程(Presentationhost.exe)中运行,通常是在一个沙箱中以保护用户免受恶意代码的攻击。如果你熟悉 Java Web Start文件 (.jnlp),则xpabs的行为与其类似,只是这里IE启动的是Presentationhost.exe而不是Java.exe,编写的代码是c#而不是Java。
注意,xbap可以请求不同的权限级别。为了执行潜在的恶意操作,应用程序必须请求从文件位置(即本地文件系统或网络共享)打开XBAP时可以执行的非限制性权限。如果应用程序请求权限过多,则尝试通过HTTP或FTP打开xbap将失败。有关安全模型的更多信息请 参阅此处 。
创建XBAP应用程序你可以克隆 我的PoC ,或按照以下说明来构建你自己的POC:
1.下载 visual studio 2010 professional service pack 1 trial。
2.打开 visual studio 并选择“New, Project”。
3.在 new project 界面,搜索“WPF Browser Application”并创建一个新的 Visual C# app。
初始化新项目后,你将看到如下界面:
如果你点击运行,你的默认浏览器将会打开.xbap文件。如果你的默认浏览器不是IE,那么你需要将file:/// URL从默认浏览器的地址栏复制到IE上打开。如果一切正常,你应该会收到如下警告消息:
点击运行后,将出现一个空白页面。让我们来创建一个简单的UI,即在左侧输入命令右侧输出结果。此外,我还将添加一个带有单击事件的按钮。
如果此时你尝试运行该应用程序,将会收到“Button_Click”未定义的错误提示。我们打开Page1.xaml.cs定义按钮单击方法。这里我将使用C#的Pipeline类来运行PowerShell命令(有趣的是,以这种方式运行PowerShell命令可以绕过约束语言模式)。以下代码将在 Pipeline 中运行一些PowerShell命令,并将输出写入到屏幕。
编译应用程序,你需要通过右键单击“Solution Explorer”中的“References”文件夹,并选择“Add Reference”来引用System.Management.Automation dll。 然后浏览到:
C:\Windows\assembly\GAC_MSIL\System.Management.Automation\1.0.0.0__31bf3856ad364e35\System.Management.Automation.dll
添加引用后,你应该能够编译该项目(如果未将项目命名为“powershell”,则可能需要更改命名空间)。现在如果你运行xbap它应该会成功打开,但当你尝试运行命令时会出现以下错误:
此错误是Presentationhost的沙箱在告诉你,应用程序试图在它的权限级别之上执行某些操作,有关xbap安全性的更多介绍请参阅 此处 。要使xbap请求具有完全信任权限(即对操作系统的非沙盒访问),请到Project -> Properties -> Security下选择“This is a full trust application”进行设置。
运行应用程序,PowerShell命令现在应该能够正常执行。
编译的应用程序可以在visual studio项目的\bin\Debug文件夹中找到。
powershell.exe
powershell.exe.manifest
powershell.pdb
powershell.xbap
要绕过默认的AppLocker规则,请将这些文件复制到锁定的计算机,然后双击.xbap文件。如果你从网站下载该文件,它将无法运行,因为它将包含 Web标记 。你可以通过右键单击该文件,然后单击“Unblock(取消阻止)”复选框来删除Web标记(或者你也可以使用 PowerShell )。
如果你不想将文件复制到锁定的计算机上,你也可以从命令行使用file:/// URI 或 UNC路径来运行presentation host,例如:
presentationhost.exe file:///ipAddressOrHostName/powershell.xbap
以下是PowerShell xbap的源码:
https://github.com/jpginc/xbapAppWhitelistBypassPOC/tree/master
我将已编译的文件包含在了repo中,以便你在锁定环境中运行PowerShell,你可以 在此处获取文件 。
好了,以上就是我的分享。希望能为你的实际测试工作带来帮助和新的灵感。另外,也欢迎大家关注我的 twitter ,我会不定期的在上面分享我的研究成果。感谢阅读!
*参考来源: medium ,FB小编secist编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《使用presentationhost.exe绕过AppLocker白名单限制》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
硅谷增长黑客实战笔记
曲卉 / 机械工业出版社 / 2018-4-10 / 65.00元
增长黑客这个词源于硅谷,简单说,这是一群以数据驱动营销、以迭代验证策略,通过技术手段实现爆发式增长的新型人才。近年来,互联网公司意识到这一角色可以发挥四两拨千斤的作用,因此对该职位的需求也如井喷式增长。 本书作者曾在增长黑客之父肖恩•埃利斯麾下担任增长负责人,用亲身经历为你总结出增长黑客必备的套路、内力和兵法。本书不仅有逻辑清晰的理论体系、干货满满的实践心得,还有Pinterest、SoFi......一起来看看 《硅谷增长黑客实战笔记》 这本书的介绍吧!
