注册
登录
标签
统计
帮助
中神通公司交流论坛
»
同行动态
» 看我怎么用360搞定深信服SSLVPN远程桌面
‹‹ 上一主题
|
下一主题 ››
发新话题
发布投票
发布商品
发布悬赏
发布活动
发布辩论
发布视频
打印
看我怎么用360搞定深信服SSLVPN远程桌面
linda
琳达
版主
发短消息
加为好友
当前离线
1
#
大
中
小
发表于 2016-2-29 17:10
只看该作者
看我怎么用360搞定深信服SSLVPN远程桌面
某司SSL-VPN沙盒逃逸之旅
【0x01】
入口:nmap 扫描c段发现x.x.x.2开放不少端口
https(443)访问发现是个ssl-vpn登录口
按照经验,一般这种系统往往会存在测试帐号,比如test、Guest等等。
手工试一下:test::****,然后就进去了。
【0x02】
发现:进去后,对各个功能进行了熟悉和测试,发现了一个erp软件。打开后需要登录,测试了几个常用测试口令,进去了。
【0x03】
新发现:这个ssl-vpn同时提供了远程使用word、excel、ppt等等功能,想到利用宏执行命令(最后反思这种方法是不行的),还没来的及尝试,就有新的发现,那个erp软件有个推荐功能呢,点击发现调用了ie来打开链接!
看到ie就不由的想起了老外的那个渗透测试报告(
https://www.offensive-security.c … ple-report-2013.pdf
),里面有个
Citrix沙盒绕过,和我现在遇到的这个情景非常相似!
照猫画虎,一番测试下来,发现不行。
不能利用ie下载木马并执行,管理员做了策略,不能使用ie从非白名单域名下载东西,然后我尝试编辑internet选项,添加当前域名到白名单,发现没有权限!
【0x04
】
尝试其他的方法:利用ie的另存为,打开资源管理器,然后编辑任意一个txt文本,从而实现调用notepad。
【0x05】
新问题:不能修改文件后缀名。在老外的那个沙盒绕过中,他们直接可以修改后缀名,但是由于这个系统默认没有开启已知后缀名显示,手动尝试打开,发现木有权限!
【0x06】
突破后缀名:思考了半天,和同事商量了下,发现利用notepad的“另存为”功能就可以生成任意后缀的文件名!
【0x07】
又一个新问题:写了几条cmd,右键利用管理员权限执行,发现并没有cmd结果,结果重定向到txt也没有效果。
【0x08】
尝试解决:利用msfvenom生成一个powershell的payload,然后利用notepad写进去,右键管理员权限执行,多次尝试,但是就是不上线!
换了一款纯powershell写的远控木马,也不能上线,又尝试配默认代理等等,最终也是没上线!
【0x09】
新的突破口:右键“管理员权限运行”的时候,发现了360卫士!!
对我们的txt使用360卫士进行扫描,神奇的一幕发生了!右下角居然出现了360的图标!ssl-vpn真是太神奇了,吓了一大跳!右下角托盘都要模拟下!
【0x0A】
360成了帮凶:调出360卫士的主界面后,思路豁然开朗了许多!要知道360(这**)运行的权限可是非常高的!
利用360卫士的推广功能,运行“软件管家”。
然后找到“360极速浏览器”,利用一键安装,分分钟安装了一个新的浏览器,同时“软件管家”在安装后,提供了“打开软件”的功能,成功调用“360极速浏览器”,这样就能绕过ie下载限制,可以随意的下载东西了!
【0x0B】
再次陷入瓶颈:虽然360浏览器能绕过下载限制,但是下载下来的木马却依然不能运行。而且发现利用“360极速浏览器”下载的东西,默认不能保存的c盘,猜测应该是管理员做了策略限制,对c盘没有访问权限,之前的cmd不能执行成功应该也是一样的原因。
【0x0C】
转机:然后继续看看360卫士提供的其他功能,发现了进程管理器:
尝试利用这个功能结束了我们之前打开的notepad,发现可以结束。
说明360已经给我们提供了非常高的权限!
绕过的希望应该非常大!
【0x0D
】
突破前夕:继续挖掘“软件管理”,利用它“一键安装了notepad++”,并调用!
安装npp的目的是因为我自己对npp非常熟悉,知道npp提供了一个功能,调用cmd:打开文件所在目录的cmd。
同时也验证了之前的猜想:果然是有策略在限制!
【0x0E】
完全突破:已经可以打开cmd了,就剩下绕过策略了!
这里纠结了很长很长时间,最后无意使用360卫士的扫描功能!
不扫不知道,一扫吓一跳:
直接把管理员设置的组策略给扫描出来了,而且建议修复!
哈哈,那就修复呗!
由于管理员已经发现了有人绕过沙盒,并且重新部署了策略,我就不再复现了。
【0x0F】
最后:策略被清除后,剩下的事情就非常简单了:
【via@
90sec-L34Rn
】 本文经作者授权转载,未经授权请勿转载本文
原文:
https://www.91ri.org/15206.html
搜索更多相关主题的帖子:
深信服
SSLVPN
SSL
VPN
非授权访问
过滤不严
360
入侵内网
UID
123
帖子
1785
精华
5
积分
50
阅读权限
100
在线时间
747 小时
注册时间
2013-8-15
最后登录
2024-5-18
查看详细资料
TOP
‹‹ 上一主题
|
下一主题 ››
最近访问的版块 ...
龙门阵
真实IT经验
官方发布
通知公告
产品下载
购买咨询
技术讨论
系统管理
系统管理
状态统计
访问控制
基础策略
内置服务
网络设置
应用过滤
特殊应用
网络审计
WEB审计过滤(WAF)
DNS过滤
WEB代理及过滤
FTP、POP3、SMTP过滤
MSN、QQ过滤
VOIP应用
防病毒、防垃圾邮件引擎
入侵防御
蜜罐检测
IDP规则及IPS状态
远程接入
用户认证
IKEv2/IPsec
OCSERV
PPTP/L2TP
OpenVPN/SSLVPN
WireGuard
SoftEther/SSTP
SSL接入
大地云控
IT技术交流
硬件选型
虚拟化&云计算&SDN&NFV
真实IT经验
灌水聊天
同行动态
行业信息
龙门阵