技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

第一章、背景

近期在做渗透中,发现了一个关于远程应用发布VPN的逻辑漏洞,在这里做一下分享。

逻辑漏洞千奇百怪,姿势之多,无法穷举,这里只简单列举其一,望能借此打开您对逻辑漏洞的认知,一发入魂,感谢。

PS:本云

第二章、千奇百怪的逻辑

逻辑漏洞是由于逻辑不够严谨,或应用系统权限把控不够等引发,正常情况下难以识别。如果偶然间触发了一些条件或者修改部分参数则会得到异样的结果;或者绕过部分过程,同样也能得到结果。这里我对复现一下本次主题远程应用发布VPN逻辑漏洞获取shell问题。

2.1、前期——正常访问

首先我们在登录框中,通过用户名和密码登录远程应用发布VPN系统(通过弱密码登录VPN):

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

登录后,点击并按照应用程序,这里我们需要安装应用程序:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

2.2、中期——大胆突破

程序安装完成后,会出现下述客户端弹框,正常思路是通过用户名和密码进行登录,这里反其道而行之。点击帮助功能点,查看帮助能内容:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

点击帮助后会出现下述界面,这里右键界面,点击查看源文件,这里会从前置机中调用文本文档,并显示文件信息:技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

文件内容主要是web前端信息,可能会认为没什么用,但这里深入一步,点击文件,并另存为,选择保存类型为所有文件,并将文件另存为的路径切换到C:WindowsSystem32:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

通过浏览我们可以看到cmd.exe,右键用超级管理员运行cmd.exe,可以发现该cmd是调用了前置机的CMD命令。那么,相当于通过该功能拿到了前置机的cmdshell权限:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

2.3、后期——获取shell

如下:

执行whoami:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究执行ipconfig:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究到此思路结束,未深入进行内网渗透。 

2.4、思维导图

这里我整体思路用思维导图的方式进行如下列举:

技术讨论 | 远程应用发布VPN逻辑漏洞获取Shell研究

第三章、总结

面对逻辑漏洞,没有固定思路,需要的思路则是大胆和猜想,也许这就是安全圈的哥德巴赫猜想,再次感谢。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论