第一章、背景
近期在做渗透中,发现了一个关于远程应用发布VPN的逻辑漏洞,在这里做一下分享。
逻辑漏洞千奇百怪,姿势之多,无法穷举,这里只简单列举其一,望能借此打开您对逻辑漏洞的认知,一发入魂,感谢。
PS:本云
第二章、千奇百怪的逻辑
逻辑漏洞是由于逻辑不够严谨,或应用系统权限把控不够等引发,正常情况下难以识别。如果偶然间触发了一些条件或者修改部分参数则会得到异样的结果;或者绕过部分过程,同样也能得到结果。这里我对复现一下本次主题远程应用发布VPN逻辑漏洞获取shell问题。
2.1、前期——正常访问
首先我们在登录框中,通过用户名和密码登录远程应用发布VPN系统(通过弱密码登录VPN):
登录后,点击并按照应用程序,这里我们需要安装应用程序:
2.2、中期——大胆突破
程序安装完成后,会出现下述客户端弹框,正常思路是通过用户名和密码进行登录,这里反其道而行之。点击帮助功能点,查看帮助能内容:
点击帮助后会出现下述界面,这里右键界面,点击查看源文件,这里会从前置机中调用文本文档,并显示文件信息:
文件内容主要是web前端信息,可能会认为没什么用,但这里深入一步,点击文件,并另存为,选择保存类型为所有文件,并将文件另存为的路径切换到C:\Windows\System32:
通过浏览我们可以看到cmd.exe,右键用超级管理员运行cmd.exe,可以发现该cmd是调用了前置机的CMD命令。那么,相当于通过该功能拿到了前置机的cmdshell权限:
2.3、后期——获取shell
如下:
执行whoami:
执行ipconfig:
到此思路结束,未深入进行内网渗透。
2.4、思维导图
这里我整体思路用思维导图的方式进行如下列举:
第三章、总结
面对逻辑漏洞,没有固定思路,需要的思路则是大胆和猜想,也许这就是安全圈的哥德巴赫猜想,再次感谢。
来源:freebuf.com 2020-08-01 14:56:00 by: bbbbbbig
请登录后发表评论
注册