12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 362|回复: 0

从项目中看BypassUAC和BypassAMSI

[复制链接]

59

主题

59

帖子

128

积分

实习版主

Rank: 7Rank: 7Rank: 7

积分
128
发表于 2021-7-18 09:37:59 | 显示全部楼层 |阅读模式
一、概述
在日常渗透过程中,无论执行exe程序还是执行ps1脚本,都可能会遇到UAC或AMSI的阻挠。本文将联合UACME和Dount项目先容BypassUAC与BypassAMSI的方法。如有不敷之处,请大家指出。


二、BypassUAC

BypassUAC自然绕不开UACME这个项目https://github.com/hfiref0x/UACME,项目里包含了很多不同种类的方法,其中Dll Hijack Registry key manipulationElevated COM interface这三种方法是项目中出现的较多且好用的对应23、33、41这三个方法号,下面就动态调试下UACME项目中的这几个方法,有坑的地方会加以说明:
调试前要修改两步:
第一步:增长方法号参数:


2.1调试Dll Hijack

可见23这个方法从Win7win10各版本都还没修复:

然后进行历程伪装,就是根据PEB中的ProcessParameters来获取自己历程信息并修改为系统可信历程:

接着调用MethodsManagerCall()方法,该方法为主要功能调用的方法,参数为对应的方法号

元素结构体的定义,第一个为调用方法函数指针和第三个为所需资源号:

加载的dll内容:

接着根据UCM_API_DISPATCH_ENTRY结构体里的函数指针调用相应方法

继承跟入ucmDismMethod(),先进行版本判定后,再跟入ucmxGenericAutoelevation()函数,在该方法中主要实现对FUBUKI64 dll的移动和改名

跟入ucmxDisemer(),函数中拼接好C:\Windows\system32\pkgmgr.exe要执行的程序和/ip /m:pe386 /quiet参数,传入supRunProcess2()调用:

背面会执行些清理方法,至此23号Dll Hijack方法分析结束。

2.2调试Registry key manipulation
可见33这个方法只支持win10,必要在win7使用可用用25方法号,方式是一样的。




构造SHELLEXECUTEINFO结构体,传入ShellExecute()启动fodhelper.exe

背面清理相应的注册表键值。

2.3COM接口提升Elevated COM interface

41号方法根本覆盖全版本windows系统:

先初始化COM情况:

调用CMLuaUtil对象虚表中的ShellExec函数启动相应的历程:

然后使用OleView .Net工具根据CLSID检察找到的接口信息:

41号这个方法挺好使的,用来做C2launch来部署情况个人觉得很恰当。  

三、BypassAMSI:
3.1AMSI简介
AMSIAntimalware Scan Interface), 即反恶意软件扫描接口Windows Server 2016和Win10上默认安装并启用,但安装有些杀软会被关掉,可通过接口来扫描文件,内存、数据,常用于检测ps脚本。
3.2BypassAMSI方式
网上看到现在能BypassAMSI主要有三种方法:
[size=10.5000pt]1、
修改相应的注册表。HKCU\Software\Microsoft\Windows Script\Settings\AmsiEnable的表项值置为0。关闭Windows Defender使系统自带的AMSI检测无效化。[size=10.5000pt]

[size=10.5000pt]2、 Dll劫持powershell程序powershell.exe执行目录放置一个伪造AMSI.dll从而实现DLL劫持
[size=10.5000pt]3、 InlineHook AMSI.dllDount是一个基于.Net的免杀肴杂组件,
这里根据Dount项目介紹下三种方式来BypassAMSI,项目地址:https://github.com/TheWover/donut
[size=10.5000pt]1、 把原来amsi.dll中的AmsiScanString()AmsiScanBuffer()扫描函数更换,让其返回S_OK:更换成自己的函数AmsiScanStringStub()

改变内存属性,把AmsiScanStringStub()覆盖到AmsiScanString():
  
但如今一旦出现AmsiScanBuffer()该字符串都有可能被Windows Defender查杀,所以就Egg Hunter这种方法,也是先加载别的不相关的函数,如DllCanUnloadNow()



完,谢谢大家观看。



参考链接:
https://modexp.wordpress.com/2019/06/03/disable-amsi-wldp-dotnet/
https://www.contextis.com/en/blog/amsi-bypass
来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-24 12:00 , Processed in 0.078125 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表