HW行动在即-工控安全突破口之-主机防护

一年一度护网马上就要到来了，人们又开始骚动了，对于经历了两届HW行动的我们来讲，最痛的莫过于碰到甲方临时请来的“雇佣兵”

所以我们打算从今天开始向大家说说在HW行动中工控安全的那些“雇佣兵”

今天请出主角：主机卫士（Windows版本）

用我们最强的矛，来试试这最强的盾，我们先来看看这最强的盾大致简介

从程序白名单角度来讲，这描述是中规中矩的，接下来我们看下软件示意图是怎样的

头顶一片绿的是白名单，黄脸笑嘻嘻的是非白名单

接下来我们看一下对于功能的描述

我们暂且认为公开的功能全都能实现（事实是啪啪打脸的），在这完美的剧本之下我们来看看黑名单的一览表

非白名单还是比较全的，而且默认不允许使用，可以可以，至此“雇佣兵”的能力介绍完毕，下来就看我们怎么通过40米大砍刀怎么突破“雇佣兵”的防御。

现在我们来介绍一下今天的主角cmstp、Empire PowerShell

Cmstp简介：

Cmstp安装或删除“连接管理器”服务配置文件。如果不含可选参数的情况下使用，则cmstp 会使用对应于操作系统和用户的权限的默认设置来安装服务配置文件。

Cmstp.exe所在路径已被系统添加PATH环境变量中，因此，Cmstp命令可识别

微软官方文档： https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cmstp

Empire PowerShell简介：

Empire PowerShell中文简称 “帝国” ，可能大多数只听说过这款内网渗透神器，针对windows系统平台而打造的一款渗透工具。在PowerShell方面，帝国实现了无需powershell.exe即可运行PowerShell代理的功能，可快速部署的开发后的模块从按键记录到Mimikatz，可逃避网络检测的能力，适应性强的通信，都包裹在易用性为重点的框架,有点类似于像meterpreter。

Empire PowerShell官方： http://powershellempire.com/

开始挥舞我们的大刀

创建SCT文件类型

在本地生成inf

现在，将文件改名后发送到受害者的PC，并在受害者的命令提示符下运行以下命令：

cmstp.exe /s shell.inf

一旦运行该命令，您将获得一个meterprer会话。使用以下命令访问会话：

至此绕过“雇佣兵”的严密防护，运行了我们的“小兄弟”

特此声明：

本文所涉及 主机卫士 无指向性，已进行打码处理，请各位请勿非法测试，所有攻击后果由实施者承担

本文隐去相关技术细节，请各位见谅，如有意向研究请在google或baidu上胡乱操作