绕过windows附件管理器的有趣方式

0x00 前言

最近看到rvrsh3ll@424f424f的一篇文章《Bypassing Windows Attachment Manager》，介绍了他绕过Windows附件管理器的想法。非常有趣。

我恰好对本文涉及的ADS和lnk文件的利用做了一些研究。所以基于我的经验，本文将介绍旁路方法，分享我在实际测试过程中发现的一个有趣的问题。

相关文章地址如下：

《Bypassing Windows Attachment Manager》 :

http://www . rvr sh3 ll . net/blog/informational/bypassing-windows-attachment-manager/

我以前的一些研究经历：

《渗透技巧——快捷方式文件的参数隐藏技巧》

《Hidden Alternative Data Streams的进阶利用技巧》

0x01 简介

本文将介绍以下内容：

Windows附件管理员角色

Windows附件管理器的实现

绕过Windows附件管理器的方法

专项档案建设

实际测试过程中发现的有趣问题

0x02 Windows Attachment Manager

简介

自WinXp SP2版以来微软推出的新功能

用于防止文件从不受信任的渠道下载，可以直接执行。

不可信的渠道包括电子邮件和互联网下载。

如果发现文件来自不可信途径，文件打开时会弹出一个框提示用户，需要用户确认后才能执行，如图。

标记为高风险的文件格式如下：阿德，adp，app，asp，bas，蝙蝠，cer，chm，cmd，com，cpl，crt，csh，exe，fxp，hlp，hta，inf，ins，isp，其，js，jse，ksh，lnk，疯了。maf，mag，妈妈。maq，三月。mas，mat，茂，mav，大嘴。mda，mdb，mde，mdt，mdw，mdz，理学硕士，微星，msp，mst，ops，pcd，pif，prf，prg，pst，注册，scf，scr，sct，shb，shs，tmp，url，vb，vbe，vbs，vsmacros，vss，vst，vsw，ws，wsc，wsf，wsh

详情请参阅：

https://support . Microsoft . com/en-us/help/883260/information-about-the-attachment-manager-in-Microsoft-windows

实现方式

不受信任的文件将被添加到ADS:Zone。标识符：下载时的数据。

广告详情如下：

[区域转移]

ZoneId=3

也就是说，只要ADS:Zone。标识符：$包含数据，文件打开时会用弹出框提示用户，需要用户确认后才能执行。

绕过思路

1、删除文件的ADS，那么在打开该文件的时候就不会弹框

对于小文件，您可以更多地使用Windows默认命令

对于大文件，您可以使用工具流。

注：

详情请咨询《Hidden Alternative Data Streams的进阶利用技巧》。

也可以通过界面操作，如下图所示，选择解锁。

2、改变传输途径

如果您将文件复制到另一个操作系统，原始文件的ADS将不会被保存。

也就是说，如果将之前下载的不可信文件以可信的方式复制到另一个操作系统，该文件在新系统中不会被标记为“不可信”。

例如：

从网上下载的文件Python-2.7.12.msi，添加了ADS:Zone。标识符：默认为：$DATA，打开时会弹出。

现在把文件拖入虚拟机(这个操作被认为是可信的方式，不会添加广告)，原来的广告也不会保存，所以打开文件的过程中不会弹出框。

0x03 特殊文件的构造

因为不可信的文件会添加ADS:Zone。标识符：$DATA下载的时候，如果是压缩文件怎么办？解压后还会收录广告吗？

测试系统：Win10x64

服务器：Kali Linux

打开HTTP服务器功能：

python -m SimpleHTTPServer 80

1、尝试.exe+.rar

用WinRAR把putty.exe压缩成putty.rar，上传到HTTP服务器。

注：

Win10系统无法解压。rar文件，所以需要手动安装WinRAR。

测试系统通过Chrome下载putty.rar，如图所示。

用WinRAR解压并打开文件，不用弹框。

结论1：

压缩文件在。rar不会添加广告。

2、尝试.lnk+.rar

压缩lnk文件时，lnk指向的源文件会被直接压缩，lnk文件本身无法压缩，所以测试失败。

3、尝试.exe+zip

用WinRAR把putty.zip压缩成putty.zip，上传到HTTP服务器。

测试系统通过Chrome下载putty.zip。

通过Windows资源管理器打开zip文件，如下图所示

打开弹出框，提示用户，如下图所示

而用WinRAR解压打开文件，不弹出框。

结论2：

Windows附件管理器不支持WinRAR等第三方软件。

4、尝试.exe+cab

接下来，不需要测试需要第三方软件的压缩格式。您应该继续寻找Windows默认支持的格式。

比如。cab文件。

注：

Cab文件可以由makecab.exe生成，系统默认包括

压缩类型包括：none、mszip、lzx。

使用makecab将putty.cab压缩到putty.cab中，选择lzx作为压缩类型，命令如下：

make cab/d compression type=lzx putty.exe腻子. cab

画

上传到HTTP服务器

测试系统通过Chrome下载。

解压缩、保存文件、打开和弹出框。

将文件拖到任意路径，打开它，不要弹出框。

完整的测试过程如图所示。

Gif在线地址：

https://raw . githubusercontent . com/3g student/BlogPic/master/2017-5-10/2 . gif

使用Procmon来监控这两个操作。区别如下图所示。在这里，我们需要继续学习，做更多的测试。

注：

Win10 Build 14393(1607)及之前的版本都有这个问题。Win10 Build 15063(1703)已经修复了此问题。

结论3：

使用cab压缩文件，然后拖动文件进行保存，可以绕过Windows附件管理器。

5、尝试.lnk+cab

注：

方法来自rvrsh3ll@424f424f的文章，但是我在测试的时候发现了另外一个有趣的问题。

使用makecab将test.lnk压缩到test.cab中，选择lzx作为压缩类型，命令如下：

makecab /d压缩type=lzx test.lnk test.cab

注：

Cab文件本身可以压缩lnk文件。为了增加混乱，您可以使用下面的测试代码：

在test.txt中编写以下内容：

/c开始calc.exe

Powershell代码：

$ file=Get-Content ' c:\ test \ test . txt '

$ wsh shell=New-Object-com Object WScript。壳

$Shortcut=$WshShell。create shortcut(' c:\ test \ test . lnk ')

$快捷方式。target path=' % SystemRoot % \ system32 \ cmd . exe '

$快捷方式。icon location=' % SystemRoot % \ System32 \ shell32 . dll，3 '

$快捷方式。Arguments=$file

$快捷方式。保存()

生成的lnk文件参数用空格字符填充，实际的有效负载是隐藏的，如下图所示

有关更多详情，请参考：

《渗透技巧——快捷方式文件的参数隐藏技巧》

将test.cab上传到HTTP服务器。

测试系统通过Chrome下载。

解压缩、保存文件、打开并弹出盒子(与测试4相同)

将文件拖到任意路径，打开它，不要弹出框(与测试4相同)

一个有趣的问题：

解压缩lnk文件，保存文件，打开它，然后弹出框。

然后右键查看lnk文件的属性，再次打开lnk文件，广告会被清除而不会弹出框。

完整的测试过程如图所示。

Gif在线地址：

https://raw . githubusercontent . com/3g student/BlogPic/master/2017-5-10/1 . gif

结论4：

在某些特殊情况下(Win10 Build 14393(1607)之前的版本)，会清除广告，可以绕过Windows附件管理器。

注：

Win10 Build 10586有这个问题，Win10 Build 14393(1607)修复了。

0x04 补充

Win7系统不存在上述问题，因为：

打开cab文件后，保存文件时会弹出一个框提示用户(这个功能Win10不存在)

画

0x05 小结

不受信任的文件将被添加到ADS:Zone。标识符：下载时的数据。

如果您将文件复制到另一个操作系统，原始文件的ADS将不会被保存。

与rar和zip格式相比，cab格式更适合压缩lnk文件。

Lnk文件更具欺骗性。

Win10 Build 15063(1703)已经修复了上述bug。

留下回复