绕过AppLocker约束语言模式(CLM)的COM技术详解<\/h1>

1. 约束语言模式(CLM)概述<\/h2>

约束语言模式(Constrained Language Mode, CLM)是PowerShell的一种安全限制机制，主要用于：<\/p>

限制PowerShell的访问权限<\/li>
禁止使用Add-Type<\/code>等功能<\/li>
阻止利用反射方法启动post-exploitation工具<\/li>

防御如"Invoke-Mimikatz"等依赖反射技术的工具<\/li>
<\/ul>
检查当前语言模式：<\/p>
$ExecutionContext.SessionState.LanguageMode
<\/span><\/span><\/code><\/pre>在CLM下会返回"ConstrainedLanguage"<\/p>
2. 环境准备与验证<\/h2>


启用AppLocker：<\/p>

使用Windows默认规则集配置CLM<\/li>
启动Application Identity服务<\/li>
<\/ul>
<\/li>

验证CLM是否生效：<\/p>
<\/li>
<\/ol>
Add-Type "namespace test { }"<\/span>
<\/span><\/span><\/code><\/pre>在CLM下此命令会失败<\/p>
3. COM对象绕过技术<\/h2>
3.1 关键发现<\/h3>
通过AppLocker启用CLM时，New-Object -ComObject<\/code>仍可工作（有一定限制）：<\/p>
New-Object -ComObject WScript.Shell
<\/span><\/span><\/code><\/pre>COM对象可以通过DLL加载到调用进程中，这为绕过CLM提供了可能。<\/p>
3.2 注册自定义COM对象<\/h3>

在HKCU中创建注册表项（示例脚本未给出具体内容）<\/li>
加载自定义DLL到PowerShell进程空间<\/li>
<\/ol>
3.3 技术实现流程<\/h3>

创建自定义COM DLL<\/li>
通过注册表注册COM对象<\/li>
使用New-Object -ComObject<\/code>加载<\/li>
DLL加载到PowerShell进程空间<\/li>
<\/ol>
4. 从非托管DLL到托管DLL<\/h2>
4.1 加载.NET CLR<\/h3>
通过非托管DLL加载.NET CLR，进而调用.NET程序集：<\/p>

非托管DLL加载.NET CLR<\/li>
CLR加载.NET程序集<\/li>
执行指定方法<\/li>
<\/ol>
4.2 反射技术应用<\/h3>
利用反射访问和修改关键属性：<\/p>
Runspaces.Runspace.DefaultRunspace.SessionStateProxy.LanguageMode
<\/span><\/span><\/code><\/pre>通过反射可以禁用CLM限制。<\/p>
5. 完整绕过流程<\/h2>


创建包含以下功能的DLL：<\/p>

加载.NET CLR<\/li>
加载自定义.NET程序集<\/li>
使用反射修改LanguageMode属性<\/li>
<\/ul>
<\/li>

注册并加载该COM对象<\/p>
<\/li>

执行PowerShell脚本完成CLM绕过<\/p>
<\/li>
<\/ol>
6. 技术原理分析<\/h2>
6.1 安全检查机制<\/h3>
关键检查函数：<\/p>
SystemPolicy.IsClassInApprovedList
<\/span><\/span><\/code><\/pre>实际调用：<\/p>
SystemPolicy.WldpNativeMethods.WldpIsClassInApprovedList
<\/span><\/span><\/code><\/pre>6.2 绕过成功原因<\/h3>

WldpIsClassInApprovedList<\/code>只检查DeviceGuard策略<\/li>
不适用于AppLocker策略<\/li>
导致任何CLSID都能通过检查<\/li>
<\/ol>
7. 特殊情况说明<\/h2>
直接设置语言模式时技术会失效：<\/p>
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"<\/span>
<\/span><\/span><\/code><\/pre>原因分析：<\/p>

SystemPolicy.GetSystemLockdownPolicy<\/code>返回不同值<\/li>
AppLocker\/DeviceGuard启用时返回"Enforce"<\/li>
直接设置时进入不同代码路径并抛出异常<\/li>
<\/ul>
8. 防御建议<\/h2>

监控COM对象加载行为<\/li>
限制非标准COM对象注册<\/li>
结合DeviceGuard策略使用<\/li>
监控LanguageMode属性修改<\/li>
<\/ol>
9. 扩展思考<\/h2>

此技术展示了CLM实现的不一致性<\/li>
反映了安全边界设计中的潜在缺陷<\/li>
提示了多种可能的绕过路径（如Oddvar Moe的研究）<\/li>
<\/ol>

绕过AppLocker约束语言模式(CLM)的COM技术详解<\/h1>

3. COM对象绕过技术<\/h2>

4. 从非托管DLL到托管DLL<\/h2>

6. 技术原理分析<\/h2>

9. 扩展思考<\/h2> 此技术展示了CLM实现的不一致性<\/li> 反映了安全边界设计中的潜在缺陷<\/li> 提示了多种可能的绕过路径（如Oddvar Moe的研究）<\/li> <\/ol>

9. 扩展思考<\/h2>

此技术展示了CLM实现的不一致性<\/li>
反映了安全边界设计中的潜在缺陷<\/li>
提示了多种可能的绕过路径（如Oddvar Moe的研究）<\/li> <\/ol>