4A之虚拟化浏览器风险点

前言

这两次在客户现场渗透测试中发现部分资源需利用4A中调用Remoteapp的IE浏览器才可进行访问,通过构思发现该功能虽然保护了应用资源的安全但同时可能暴露堡垒机的风险。

环境搭建

演示环境:
Windows Server 2008 R2

Remoteapp部署请参考以下链接,本文不做过多阐述:
https://blog.51cto.com/jqq1982/990645

风险

任意文件读取

本次环境仅开启ie资源访问权限。

通过上图可以发现服务并未开启explorer.exe访问权限,但通过file:协议可以调用explorer.exe。

file:///C:/

该问题在实际测试中发现不同版本达到利用效果不同
– Windows Server 2008 R2
可直接调用explorer程序,并且可以对文件进行读写执行操作。下图为通过file协议开启explorer,再执行CMD。

– Windows Server 2012
情况与Server 2008相同

– 部分环境
在生产环境中发现,可以读取任意文件及目录,无法调用explorer程序。

配合CVE-2018-8174获取主机权限

利用IE远程代码执行漏洞配合IE的控制权限可以直接获取主机权限。

EXP地址:
https://github.com/Yt1g3r/CVE-2018-8174_EXP

根据相关文档,生产攻击脚本,再利用SimpleHTTPServer开启web服务。

攻击者开启监听

通过Remoteapp的IE浏览器进行访问恶意地址http://192.168.3.84/exploit.html

…Sorry,最后测试发现这种方式调用会引起报错,测试无法通过该漏洞获取服务器权限。如果哪位师傅有好的建议可以在此评论。

利用Active调用CMD程序

利用Remoteapp打开IE后,选择Internet选项=>安全>自定义级别,启用对未标记为可安全执行脚本的Activex控件初始化并执行脚本。

设置好后,将以下代码保存为html文件,并放到web服务器上。

<!DOCTYPE html>
<html>
<head>
<script type="text/javascript">
function callExe(){
new ActiveXObject("Wscript.Shell").run("cmd.exe");
}
</script>
</head>
<body>
<input id="Burron" value="调用" onclick="callExe();"/>
</body>
</html>

打开后单击调用按钮,即可调用cmd程序。

发表回复

您的电子邮箱地址不会被公开。