返回列表 发新帖

[文摘] 利用Citrix Receiver浏览器进行渗透

[复制链接]
灌水成绩
735
主题
754
帖子
5077
积分
等级头衔
积分成就
  • 威望: 0
  • 贡献: 4323
  • 金钱: 0
  • 违规:
  • 在线时间:255 小时
  • 注册时间:2019-3-9
  • 最后登录:2019-10-20
个人勋章

官方

联系方式
QQ
发表在  2019-10-4 23:42:21 | 显示全部楼层 | 阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
本文目录:
Citrix Receiver 简介
一:前言
二:浏览器利用点
  • 2.1 越权/SSRF
  • 2.2 文件读取
  • 2.3 服务器端工具调用
  • 2.4 默认关联打开powershell
  • 2.5 生成psc1文件
  •     2.5.1 火狐浏览器getPowerShell
  •     2.5.2 IE浏览器getPowerShell
  •     2.5.3 Google浏览器getPowerShell
  • 2.6 获取powershell之后
  • 2.7 Firefox/Google 浏览器SSRF内网端口扫描
  • 2.8 修复建议

Citrix Receiver 简介:

Citrix Receiver 是一种轻便的通用软件客户端,并带有类似浏览器的可扩展“插件”架构。Receiver 标 配 有 多 种 可 选 插 件 , 可 在 Citrix Delivery Center 产 品 系 列 ( 如 :XenApp 、 XenDesktop 、 Citrix Access Gateway 和 Branch Repeater)中与前端基础设施进行通信。这些插件支持的功能包括在 线和离线应用、虚拟桌面交付、安全访问控制、密码管理、应用加速、多媒体加速、 服务级监测以及语音 通信。
0x01:前言:
如果对 Citrix receiver 或者其他云桌面平台熟悉的话,那么本文才有其价值所在,否则就会认为是篇 鸡肋文章,即使如此,依旧建议走马观花过一遍,缘分很是奇妙,可能哪天你就会遇到这样的环境。
用户登陆平台点击对应的连接方式,即可在用户端打开服务器端上面的应用程序进行本地操作,应用系统连接方式主要是各类主流浏览器,如 IE、火狐、Google chrome 等,可参考下图:利用Citrix Receiver浏览器进行渗透11022195老黑7053浏览器,渗透,进行,利用,浏览,
主机系统连接方式主要是远程类终端进行登录,如:mstsc、redmin、putty、SecureCRT 等。本文主要 是利用应用系统映射的浏览器进行渗透。
利用Citrix Receiver浏览器进行渗透11022195老黑9715浏览器,渗透,进行,利用,浏览,
0x02:浏览器利用点
2.1 越权/SSRF
由于地址栏是可控,且浏览器功能也是完整的,所以可以通过修改授权的应用系统地址去访问他人 的系统,该漏洞可以认为是越权漏洞,由于这些操作都是通过服务器请求完成的,因此也可认为是服务器 端请求伪造。但是这个漏洞危害主要是越权访问他人系统,以及探测他人服务器的端口信息,但是由于接 入的系统都是经过基线检查才接入的,所以弱口令几率很小,该点不容易利用来进入到系统。
2.2 文件读取
文件读取主要是利用 file 协议,可读取服务器中公共盘中的文件,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑282浏览器,渗透,进行,利用,浏览,
2.3 服务器端工具调用
服务器端工具调用主要是利用火狐浏览器对应用程序的处理方式,通过不断尝试发现使用 telnet:///可以调 用服务器上面的应用程序(火狐可以调用应用程序,Google 可以调用 telnet 终端),如图:利用Citrix Receiver浏览器进行渗透11022195老黑8213浏览器,渗透,进行,利用,浏览,
后面通过翻阅火狐浏览器配置发现了是由于火狐对应用程序的处理,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑4729浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑7534浏览器,渗透,进行,利用,浏览,
后面尝试 irc、ircs、webcal、mailto 均可以,但是只对火狐浏览器有效,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑7331浏览器,渗透,进行,利用,浏览,
但是由于服务器对自己 C 盘做了限制,虽然可以使用 file 读取 C 盘文件,但是无法调用服务器上面的应用 程序,直接如图:
利用Citrix Receiver浏览器进行渗透11022195老黑4941浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑8380浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑1850浏览器,渗透,进行,利用,浏览,
如果直接调用本地磁盘上面的应用程序,显然权限是不够的,不然的话所有客户端还不是直接被控制了, 调用失败如图:
利用Citrix Receiver浏览器进行渗透11022195老黑736浏览器,渗透,进行,利用,浏览,
2.4 默认关联打开 powershell
通过查看自己电脑上面的关联程序,发现.psc1 默认关联 PowerShell,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑6146浏览器,渗透,进行,利用,浏览,
2.5 生成psc1文件
psc1 文件可以使用 Export-Console 来进行生成,在 powershell 里面执行 Export-Console F:\x.psc1 即 可得到一个 psc1 文件,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑9175浏览器,渗透,进行,利用,浏览,
x.psc1:
<blockquote><?xml version="1.0" encoding="utf-8"?>

由于我本地生成的 psc1 文件里面配置的版本过高,导致第一次没有成功,通过修改版本为 3.0 即可成功。

<?xml version="1.0" encoding="utf-8"?><PSConsoleFile ConsoleSchemaVersion="1.0">   <PSVersion>3.0</PSVersion>    <PSSnapIns/> </PSConsoleFile>
2.5.1 火狐浏览器getPowerShell
火狐浏览器可以直接通过 file 展示的文件单击打开即可获取 powershell,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑8572浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑927浏览器,渗透,进行,利用,浏览,
为了证明此 shell 不是本地的,截图证明:
利用Citrix Receiver浏览器进行渗透11022195老黑2681浏览器,渗透,进行,利用,浏览,
另外还可以通过 telnet 那几个协议来进行调用本地的 psc1 来获取服务器端的 powershell,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑3483浏览器,渗透,进行,利用,浏览,
这里虽然不会显示 .psc1 文件,但是我们可以直接在文件名那里输入 x.psc1 即可,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑4938浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑6619浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑7650浏览器,渗透,进行,利用,浏览,
2.5.2 IE浏览器getPowerShell
由于服务器的 IE 浏览器禁用了地址栏,禁用了鼠标右键以及菜单、设置等功能,因此就在本地 IE 浏览器 进行测试,在地址栏中直接访问会提示下载,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑5196浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑3216浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑1016浏览器,渗透,进行,利用,浏览,
2.5.3 Google浏览器getPowerShell
通过 file 点击下载之后进行打开,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑3881浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑297浏览器,渗透,进行,利用,浏览,
2.6 获取 powershell 之后
通过上述获取到 powershell,那么就可以进行下一步的横向渗透或者调用任意工具,同时也绕过了系统对 C 盘的限制,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑4028浏览器,渗透,进行,利用,浏览,利用Citrix Receiver浏览器进行渗透11022195老黑3950浏览器,渗透,进行,利用,浏览,
注:由于这个系统是超重要系统,因此未进行下一步的提权操作!但是可以参考 90sec 社区中的一篇文章 “CitrixReceiver 平台的一次渗透测试【通过】:点击打开

2.7 Firefox/Google 浏览器 SSRF 内网端口扫描
使用 Firefox 或 Google 浏览器访问 telnet:///,第一个应用程序就是默认的 telnet 终端,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑7768浏览器,渗透,进行,利用,浏览,
利用Citrix Receiver浏览器进行渗透11022195老黑4394浏览器,渗透,进行,利用,浏览,
打开链接即可进入到 telnet 终端,由于服务器做了限制,这里使用本地测试,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑6838浏览器,渗透,进行,利用,浏览,
利用Citrix Receiver浏览器进行渗透11022195老黑7444浏览器,渗透,进行,利用,浏览,
2.8 修复建议:
1) 设置权限控制,对用户访问的资产进行白名单限制,白名单外的资产拒绝访问!
2) 最小化原则,禁用相关功能,如禁用鼠标右键、不显示地址栏、不显示菜单栏等,如图:
利用Citrix Receiver浏览器进行渗透11022195老黑7617浏览器,渗透,进行,利用,浏览,
文由贝塔安全实验室



温馨提示:
1、在论坛里发表的文章仅代表作者本人的观点,与本网站立场无关。
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
6.添加QQ群随时获取新消息QQ群号:831240632

帖子地址: 

回复

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表