利用PowerShell代码注入漏洞绕过受限语言模式

一、 前言

受限语言模式是一种非常有效的机制，能阻止在PowerShell中执行任意未签名的代码。当Device Guard或者AppLocker处于强制模式时，它是最实际有效的强制安全措施，因为未被策略允许的任何脚本或者模块都位于受限语言模式下，这严重限制了攻击者执行未签名的代码。通过限制语言模式限制了Add-Type的调用。限制Add-Type明显是考虑到了它能编译并加载任意的C#代码到你的运行空间中去。但策略允许的PowerShell代码运行在“Full Language”模式下，允许执行Add-Type。这样，微软签名的PowerShell的代码就能调用Add-Type。不相信吗?运行下面的命令你就会发现我是正确的。

二、漏洞利用

现在，想像一下如果下面的PowerShell模块代码(姑且称为“VulnModule”)有微软的签名：

ls C:\* -Recurse -Include *.ps1, *.psm1 |   Select-String -Pattern Add-Type |   Sort Path -Unique |   % { Get-AuthenticodeSignature -FilePath $_.Path } |   ? { $_.SignerCertificate.Subject -match Microsoft } 

那么有什么可以影响来自受限语言模式的Add-Type的输入呢?

好了，让我们一起思考下吧：

1. Add-Type作为类型定义传递给一个全局变量。因为它是全局的，它可以被任何人访问，包括我们和攻击者。

2. 问题是，签名的代码先于调用Add-Type就定义了全局变量，因此如果我们使用自定义的恶意的C#代码，这将会被合法的代码覆盖。

3. 你知道能用Set-Variable cmdlet来设置变量只读吗?你知道我现在在想什么了吧?

三、武器化利用

好了，为了从受限语言模式注入代码到Add-Type中，攻击者需要定义他们的恶意代码为一个只读变量，拒绝签名代码设置全局变量“Source”。下面是PoC：

$Global:Source = @      public class Test {          public static string PrintString(string inputString) {              return inputString;          }      }@  Add-Type -TypeDefinition $Global:Source 

简要说明下Add-Type注入缺陷。受限语言模式的一个限制是你不能调用非白名单类的.NET方法，但有两个例外：属性(getter方法)和ToString方法。在上面的PoC中，我选择了实现一个静态的ToString方法，因为ToString允许传递参数(getter不行)。我的类也是静态的，因为.NET类的白名单只在New-Object实例化对象时适用。

那么上面的漏洞代码是否听起来不切实际呢?你可以这么认为，但是Microsoft.PowerShell.ODataUtils 模块中的Microsoft.PowerShell.ODataUtils也有这个漏洞。微软在 CVE-2017-0215, CVE-2017-0216, CVE-2017-0219中修复了它。说实话，我不太记得了。Matt Nelson 和我都报告了这些注入bug。

四、阻止措施

最简单的阻止这种注入攻击的方式是，直接在Add-Type使用单引号的here-string给TypeDefinition。单引号的字符串不会扩展任何内嵌的变量或者表达式。当然，这个场景假设了你是编译静态代码。如果你动态生成代码给Add-Type，要特别注意攻击者可能影响你的输入。为了理解影响PowerShell中代码执行的方法，可以参见我在PSConf.EU上的演讲“Defensive Coding Strategies for a High-Security Environment”。

五、缓解措施

尽管微软在推动解决这个漏洞，我们有什么可以做的呢?

有个关于UMCI绕过二进制的有效的黑名单规则是文件名规则，其能基于PE文件中版本信息资源中的原始文件名来阻止程序执行。PowerShell很明显不是个PE文件，它是文本文件，因此文件名规则不适用。但是，你可以通过使用哈希规则强制阻止有漏洞的脚本。Okay…要是相同脚本有不止一个漏洞呢?目前为止你只阻止一个哈希。你开始注意这个问题了吗?为了有效的阻止之前所有有漏洞的版本的脚本，你必须知道所有有漏洞的版本的哈希。微软意识到了问题并尽最大努力来扫描所有之前发布的有漏洞脚本，且收集哈希将他们整合到了黑名单中。通过他们的哈希阻止所有版本的有漏洞的脚本有一定挑战性，但能一定程度上阻止攻击。这就是为什么一直迫切需要只允许PowerShell 5的执行并要开启scriptblock日志记录。Lee Holmes 有篇关于如何有效的阻止老版本的PowerShell的博文。

另一种方式是系统中大部分脚本和二进制都是catalog和Authenticode签名的。Catalog签名不是意味着脚本有内嵌的Authenticode签名，而是它的哈希存储在微软签名的catalog文件中。因此当微软更新时，老版本的哈希将会过期，将不再是被签名的了。现在，一个攻击者也能将老的签名的catalog文件插入到catalog存储中。你不得不提权执行操作，关于这个，有很多方法可以绕过Device Guard UMCI。作为一个搜索有漏洞脚本的研究员，首先要寻找具有内嵌Authenticode签名的有漏洞脚本(有字符串“SIG # Begin signature block”的提示)。Matt Nelson说这种bypass脚本存在。

六、报告

如果你找到了一种绕过，请将它上报给secure@microsoft.com ，你将得到一个CVE。PowerShell团队积极解决注入缺陷，但是他们也主动解决用于影响代码执行的一些方式。

七、总结

尽管受限语言模式能有效的阻止未签名代码的执行，PowerShell和它的签名过的模块或脚本还是有很多攻击面。我鼓励每个人都来寻找更多的注入缺陷，上报他们，通过官方的MSRC获得荣誉，并使得PowerShell生态变得更加安全。同时希望，PowerShell的代码作者要自我检视。

现在我解释了所有的内容，但是因为设计缺陷允许利用竞争条件，所以调用Add-Type还是有注入的漏洞。我希望能继续阐述这些问题，且希望微软将考虑解决这个基础问题。

本文作者：myswsun

来源：51CTO

IDOR测试常见绕过技巧小结 一、IDOR介绍 二、常见的测试技巧 1.改变HTTP请求方法 2.路径穿越绕过 3.改变Content-type(内容类型) 4.用数字ID替换非数字 5.大小写替换绕过 6.用通配符替换ID 7.给Web应用提供一个请求ID，哪怕它没作要求 8.HTTP参数污染，为同一参数提供多个值。 9.更改文件类型。添加不同的文件扩展名(例如`.json, .xml, .config`) 10.JSON参数污染 11.在请求体用数组包装参数值 12.尝试不同版本的API
独立部署Xray反练平台——详细说明加举例xxe漏洞 xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。
命令注入是web中常见的漏洞之一，由于web应用程序未对用户提交的数据做严格的过滤，导致用户输入可以直接被linux或windows系统当成命令执行，一般都会造成严重的危害。
【代码审计】任意文件读取漏洞实例 0x00 前言 大多数网站都提供读取文件功能，一般实现过程是，根据参数filename的值，获得该文件在网站上的绝对路径，读取文件。 这里，通过两个任意文件读取漏洞实例去展示漏洞原理、漏洞危害。