花式绕过McAfee本地防护规则

如今,许多企业或组织都会通过使用受限的windows环境来缓解攻击。为了加强系统,会把很多功能都限制或者取消了,能使用的功能越来越少。

最近做渗透时,我发现有系统利用McAfee Solidcore保护,Solidcore可阻止用户对系统进行任何更改,如安装/卸载软件,运行可执行文件,启动应用程序等。

我所测试的系统(Windows 7)被系统管理员设置了登录密码,因此除了访问登录界面和重启系统外,我无法访问该系统任何其他的功能。

为此,我花了近一个礼拜的时间来收集关于该应用和系统的信息,其中包括使用社会工程学的手段。最终,我通过Google dork获取到了管理员的登录凭据。

成功登录目标系统后,我发现主机的大多数功能依旧无法被正常访问。该应用程序设计得非常的好,对用户的访问权限做了较为严格的管控。

但该应用程序有一个选项允许用户打印文档,这意味着我们可以访问主机的文件资源管理器。

Print-->printer settings-->add a printer-->location-->browse location

花式绕过McAfee本地防护规则

每个Windows文件浏览器都有一个Windows帮助选项,可以从帮助选项打开命令提示符。

花式绕过McAfee本地防护规则

花式绕过McAfee本地防护规则

在调出cmd后,在cmd中依旧无法正常访问一些其他的Windows应用,并且也无法在系统中做任何更改操作(即使是打开一个记事本)。每当我试图打开某个应用时,均会出现以下报错信息:

花式绕过McAfee本地防护规则

从报错信息可以看出应用程序被Solidcore阻止,我对此并没有任何访问权限。我们需要从注册表或组策略编辑器中才能启用它。但由于Solidcore的限制,我使用以下批处理脚本修改注册表项并启用任务管理器(虽然我并不确定,报错的真正原因是否和注册表或组策略编辑器有关)

花式绕过McAfee本地防护规则

在成功执行批处理脚本后,我获取到了任务管理器以及控制面板的访问权限。我的主要目的是禁用或卸载Solidcore,但一切并没有我想象的那么轻松,Solidcore依旧无法被禁用或卸载(其他软件可被正常禁用或卸载)。

花式绕过McAfee本地防护规则

然后,只有一种方法禁用Solidcore /启用其他软件的安装,这是“ 组策略编辑器”。但是我没有直接访问gpedit。我用下面的方法来访问gpedit:

Open Task manager-->File -->New task-->Type MMC and enter

打开微软管理策略

In mmc File-->Add/Remove snap-in--> Select Group Policy Objects and click on add

花式绕过McAfee本地防护规则

花式绕过McAfee本地防护规则

现在,我能够执行许多操作,例如启用被锁定的系统应用、访问桌面、禁用Windows限制等等。如上所述,我的主要目的是禁用Solidcore,并在系统上运行任何windows的可执行性文件。

组策略编辑器提供了运行/锁定Windows软件的选项。设置如下:

Group Policy editor-->User Configuration > Administrative Templates > System

在右选项框有一个“不要运行特定windows应用程序”的选项。点击它:

Edit–>Select Enabled–>Click on show list of disallowed applications–> 然后添加你想要锁定的应用名称(这里我填的是solidcore)。然后点击"Ok"。

花式绕过McAfee本地防护规则

为了使更改生效,我重启了系统。同样,你也可以使用该方法在windows上运行一些其他的软件(例如恶意软件等)。

如若转载,请注明原文地址: http://www.4hou.com/technology/8939.html

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论

// 360自动收录 // 360自动收录