Logisek/CalcOrItDidntHappen

# Calc Or It Didn't Happen 本仓库展示了利用 LOLBAS 技术执行命令且不落地恶意软件的实用 PoC。无论你是红队成员、研究人员，还是仅仅为了凑热闹，你都会发现“武器化”的 LOL 时刻，以及那些看似无害却在做可疑且强大事情（或并没有）的二进制文件。 💻 为演示而生。 🎩 滥用信任所驱动。 🔍 （希望）正被防御者监控。 💣 由 AddInUtil、msbuild、certutil 及其伙伴触发。 ## RED（红队） ### AddinUtil **用于更新 Microsoft Office Add-Ins 缓存文件的 .NET 工具。** ``` python3 AddinUtil.py ``` - https://github.com/pwntester/ysoserial.net - https://lolbas-project.github.io/lolbas/Binaries/Addinutil/ ### Aspnet_Compiler **ASP.NET 编译工具** ``` python3 Aspnet_Compiler.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Aspnet_Compiler/ ### AppInstaller **用于在 Windows 10 上安装 AppX/MSIX 应用程序的工具** ``` python3 AppInstaller.py ``` - https://learn.microsoft.com/en-us/windows-hardware/get-started/adk-install - https://lolbas-project.github.io/lolbas/Binaries/AppInstaller/ ### Schtasks **安排周期性任务** ``` python3 Schtasks.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Schtasks/ ### Atbroker **辅助技术 (AT)** *需要管理员权限* ``` python3 Atbroker.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Atbroker/ ### Bitsadmin **用于管理后台智能传输服务** ``` python3 Bitsadmin.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Bitsadmin/ ### CertOC **用于安装证书。包含在 Windows Server 中** ``` python3 CertOC.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Certoc/ ### Certutil **用于处理证书的 Windows 二进制文件** *需要管理员权限* ``` python3 Certutil.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Certutil/ ### Fodhelper **管理 Windows 中的可选功能** ``` python3 Fodhelper.py ``` ### Control **用于启动 Windows 控制面板项的二进制文件** ``` python3 Control.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Control/ ### Csc **.NET Framework 用于编译 C# 代码的二进制文件** ``` python3 Csc.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Csc/ ### Advpack **使用 rundll32.exe 安装软件和驱动程序的实用程序** ``` python Advpack.py ``` - https://lolbas-project.github.io/lolbas/Libraries/Advpack/ ### Forfiles **选择一个文件或一组文件并对其执行命令。此命令对批处理很有用。** ``` python Forfiles.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Forfiles/ ### Ftp **用于连接 FTP 服务器的二进制文件。** ``` python Ftp.py ``` - https://lolbas-project.github.io/lolbas/Binaries/Ftp/ ### Fsquirt **蓝牙文件传输向导 - 通过 bthprops.cpl 进行 DLL 侧加载** ``` python Fsquirt.py ``` - https://github.com/mhaskar/FsquirtCPLPoC - https://learn.microsoft.com/en-us/previous-versions//dn133848(v=vs.85)?redirectedfrom=MSDN ## BLUE（蓝队） ### Microsoft Intune 配置 - 阻止不需要的可执行文件 - Microsoft Intune admin center -> 设备 -> 配置 -> 新建策略 - 分配：仅设备，非用户。 - 平台：Windows 10 及更高版本 - 策略类型：自定义 - 添加 OMA-URI 设置规则 **OMA-URI** - {Grouping} 字段可以分配任何字符串值，允许用户根据需要创建和定义自定义组。 ``` ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/{GROUPING}/EXE/Policy ``` **基本 XML 字符串值示例** - 以下 XML 规则代表一个基本规则集，在将其应用到你的 Intune OMA-URI 策略之前，应仔细审查并增强以满足你的组织要求。 ``` ``` ### 创建 AppLockerPolicy XML 文件 *在实验机器上通过 secpol.msc 或 GPO 创建你的 AppLocker 策略，导出为 XML，并进行部署。* - Windows 键 + R - secpol.msc - 应用程序控制策略 -> AppLocker -> 可执行规则 -> 创建新规则 - 权限操作：拒绝 - 条件：发布者 - 右键点击 AppLocker -> 导出策略 ## 有用的链接 - https://lolbas-project.github.io/ - https://intune.microsoft.com/ - https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/applications-that-can-bypass-appcontrol - https://learn.microsoft.com/en-us/windows/client-management/mdm/applocker-csp - https://learn.microsoft.com/en-us/windows/client-management/mdm/applocker-csp#applicationlaunchrestrictionsgroupingexepolicy - https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/deploy-oma-uris-to-target-csp-via-intune - https://github.com/hfiref0x/UACME

标签：Bitsadmin, Certutil, Conpot, Living off the Land, LOLBAS, Msbuild, OPA, PoC, Schtasks, Windows安全, Ysoserial, 二进制滥用, 命令执行, 嗅探欺骗, 安全演示, 数据展示, 暴力破解, 权限维持, 横向移动, 白利用, 知识库安全, 私有化部署, 系统原生工具, 红队, 编程规范, 网络安全, 逆向工具, 防御规避, 隐私保护, 靶场