注册
登录
标签
统计
帮助
中神通公司技术论坛
»
同行动态
» 看我怎么用360搞定深信服SSLVPN远程桌面
‹‹ 上一主题
|
下一主题 ››
发新话题
发布投票
发布商品
发布悬赏
发布活动
发布辩论
发布视频
打印
看我怎么用360搞定深信服SSLVPN远程桌面
linda
琳达
版主
发短消息
加为好友
当前离线
1
#
大
中
小
发表于 2016-2-29 17:10
显示全部帖子
看我怎么用360搞定深信服SSLVPN远程桌面
某司SSL-VPN沙盒逃逸之旅
【0x01】
入口:nmap 扫描c段发现x.x.x.2开放不少端口
https(443)访问发现是个ssl-vpn登录口
按照经验,一般这种系统往往会存在测试帐号,比如test、Guest等等。
手工试一下:test::****,然后就进去了。
【0x02】
发现:进去后,对各个功能进行了熟悉和测试,发现了一个erp软件。打开后需要登录,测试了几个常用测试口令,进去了。
【0x03】
新发现:这个ssl-vpn同时提供了远程使用word、excel、ppt等等功能,想到利用宏执行命令(最后反思这种方法是不行的),还没来的及尝试,就有新的发现,那个erp软件有个推荐功能呢,点击发现调用了ie来打开链接!
看到ie就不由的想起了老外的那个渗透测试报告(
https://www.offensive-security.c … ple-report-2013.pdf
),里面有个
Citrix沙盒绕过,和我现在遇到的这个情景非常相似!
照猫画虎,一番测试下来,发现不行。
不能利用ie下载木马并执行,管理员做了策略,不能使用ie从非白名单域名下载东西,然后我尝试编辑internet选项,添加当前域名到白名单,发现没有权限!
【0x04
】
尝试其他的方法:利用ie的另存为,打开资源管理器,然后编辑任意一个txt文本,从而实现调用notepad。
【0x05】
新问题:不能修改文件后缀名。在老外的那个沙盒绕过中,他们直接可以修改后缀名,但是由于这个系统默认没有开启已知后缀名显示,手动尝试打开,发现木有权限!
【0x06】
突破后缀名:思考了半天,和同事商量了下,发现利用notepad的“另存为”功能就可以生成任意后缀的文件名!
【0x07】
又一个新问题:写了几条cmd,右键利用管理员权限执行,发现并没有cmd结果,结果重定向到txt也没有效果。
【0x08】
尝试解决:利用msfvenom生成一个powershell的payload,然后利用notepad写进去,右键管理员权限执行,多次尝试,但是就是不上线!
换了一款纯powershell写的远控木马,也不能上线,又尝试配默认代理等等,最终也是没上线!
【0x09】
新的突破口:右键“管理员权限运行”的时候,发现了360卫士!!
对我们的txt使用360卫士进行扫描,神奇的一幕发生了!右下角居然出现了360的图标!ssl-vpn真是太神奇了,吓了一大跳!右下角托盘都要模拟下!
【0x0A】
360成了帮凶:调出360卫士的主界面后,思路豁然开朗了许多!要知道360(这**)运行的权限可是非常高的!
利用360卫士的推广功能,运行“软件管家”。
然后找到“360极速浏览器”,利用一键安装,分分钟安装了一个新的浏览器,同时“软件管家”在安装后,提供了“打开软件”的功能,成功调用“360极速浏览器”,这样就能绕过ie下载限制,可以随意的下载东西了!
【0x0B】
再次陷入瓶颈:虽然360浏览器能绕过下载限制,但是下载下来的木马却依然不能运行。而且发现利用“360极速浏览器”下载的东西,默认不能保存的c盘,猜测应该是管理员做了策略限制,对c盘没有访问权限,之前的cmd不能执行成功应该也是一样的原因。
【0x0C】
转机:然后继续看看360卫士提供的其他功能,发现了进程管理器:
尝试利用这个功能结束了我们之前打开的notepad,发现可以结束。
说明360已经给我们提供了非常高的权限!
绕过的希望应该非常大!
【0x0D
】
突破前夕:继续挖掘“软件管理”,利用它“一键安装了notepad++”,并调用!
安装npp的目的是因为我自己对npp非常熟悉,知道npp提供了一个功能,调用cmd:打开文件所在目录的cmd。
同时也验证了之前的猜想:果然是有策略在限制!
【0x0E】
完全突破:已经可以打开cmd了,就剩下绕过策略了!
这里纠结了很长很长时间,最后无意使用360卫士的扫描功能!
不扫不知道,一扫吓一跳:
直接把管理员设置的组策略给扫描出来了,而且建议修复!
哈哈,那就修复呗!
由于管理员已经发现了有人绕过沙盒,并且重新部署了策略,我就不再复现了。
【0x0F】
最后:策略被清除后,剩下的事情就非常简单了:
【via@
90sec-L34Rn
】 本文经作者授权转载,未经授权请勿转载本文
原文:
https://www.91ri.org/15206.html
搜索更多相关主题的帖子:
深信服
SSLVPN
SSL
VPN
非授权访问
过滤不严
360
入侵内网
UID
123
帖子
1826
精华
5
积分
50
阅读权限
100
在线时间
761 小时
注册时间
2013-8-15
最后登录
2024-11-25
查看详细资料
TOP
‹‹ 上一主题
|
下一主题 ››
官方发布
通知公告
产品下载
购买咨询
技术讨论
系统管理
系统管理
状态统计
访问控制
基础策略
内置服务
网络设置
应用过滤
特殊应用
网络审计
WEB审计过滤(WAF)
DNS过滤
WEB代理及过滤
FTP、POP3、SMTP过滤
MSN、QQ过滤
VOIP应用
防病毒、防垃圾邮件引擎
入侵防御
蜜罐检测
IDP规则及IPS状态
远程接入
用户认证
IKEv2/IPsec
OCSERV
PPTP/L2TP
OpenVPN/SSLVPN
WireGuard
SoftEther/SSTP
SSL接入
大地云控
IT技术交流
硬件选型
虚拟化&云计算&SDN&NFV
真实IT经验
灌水聊天
同行动态
行业信息
龙门阵