技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究 – 作者:bbbbbbig

第一章、背景

近期在做渗透中，发现了一个关于远程应用发布VPN的逻辑漏洞，在这里做一下分享。

逻辑漏洞千奇百怪，姿势之多，无法穷举，这里只简单列举其一，望能借此打开您对逻辑漏洞的认知，一发入魂，感谢。

PS：本云

第二章、千奇百怪的逻辑

逻辑漏洞是由于逻辑不够严谨，或应用系统权限把控不够等引发，正常情况下难以识别。如果偶然间触发了一些条件或者修改部分参数则会得到异样的结果；或者绕过部分过程，同样也能得到结果。这里我对复现一下本次主题远程应用发布VPN逻辑漏洞获取shell问题。

2.1、前期——正常访问

首先我们在登录框中，通过用户名和密码登录远程应用发布VPN系统（通过弱密码登录VPN）：

登录后，点击并按照应用程序，这里我们需要安装应用程序：

2.2、中期——大胆突破

程序安装完成后，会出现下述客户端弹框，正常思路是通过用户名和密码进行登录，这里反其道而行之。点击帮助功能点，查看帮助能内容：

点击帮助后会出现下述界面，这里右键界面，点击查看源文件，这里会从前置机中调用文本文档，并显示文件信息：

文件内容主要是web前端信息，可能会认为没什么用，但这里深入一步，点击文件，并另存为，选择保存类型为所有文件，并将文件另存为的路径切换到C:\Windows\System32：

通过浏览我们可以看到cmd.exe，右键用超级管理员运行cmd.exe，可以发现该cmd是调用了前置机的CMD命令。那么，相当于通过该功能拿到了前置机的cmdshell权限：

2.3、后期——获取shell

如下：

执行whoami：

执行ipconfig：

到此思路结束，未深入进行内网渗透。 

2.4、思维导图

这里我整体思路用思维导图的方式进行如下列举：

第三章、总结

面对逻辑漏洞，没有固定思路，需要的思路则是大胆和猜想，也许这就是安全圈的哥德巴赫猜想，再次感谢。

来源：freebuf.com 2020-08-01 14:56:00 by: bbbbbbig