某司SSL-VPN沙盒逃逸之旅

【0x01】

  入口:nmap 扫描c段发现x.x.x.2开放不少端口

https(443)访问发现是个ssl-vpn登录口

ssl-vpn

按照经验,一般这种系统往往会存在测试帐号,比如test、Guest等等。
手工试一下:test::****,然后就进去了。

登录成功

【0x02】

  发现:进去后,对各个功能进行了熟悉和测试,发现了一个erp软件。打开后需要登录,测试了几个常用测试口令,进去了。

erp-login

erp-2

【0x03】

  新发现:这个ssl-vpn同时提供了远程使用word、excel、ppt等等功能,想到利用宏执行命令(最后反思这种方法是不行的),还没来的及尝试,就有新的发现,那个erp软件有个推荐功能呢,点击发现调用了ie来打开链接!

ie

看到ie就不由的想起了老外的那个渗透测试报告(https://www.offensive-security.c … ple-report-2013.pdf),里面有个Citrix沙盒绕过,和我现在遇到的这个情景非常相似!
照猫画虎,一番测试下来,发现不行。
不能利用ie下载木马并执行,管理员做了策略,不能使用ie从非白名单域名下载东西,然后我尝试编辑internet选项,添加当前域名到白名单,发现没有权限!

ie-策略

【0x04
  尝试其他的方法:利用ie的另存为,打开资源管理器,然后编辑任意一个txt文本,从而实现调用notepad。

打开notepad

【0x05】

  新问题:不能修改文件后缀名。在老外的那个沙盒绕过中,他们直接可以修改后缀名,但是由于这个系统默认没有开启已知后缀名显示,手动尝试打开,发现木有权限!

ie策略3

【0x06】
  突破后缀名:思考了半天,和同事商量了下,发现利用notepad的“另存为”功能就可以生成任意后缀的文件名!

突破后缀名

【0x07】
  又一个新问题:写了几条cmd,右键利用管理员权限执行,发现并没有cmd结果,结果重定向到txt也没有效果。

管理员权限执行

【0x08】
  尝试解决:利用msfvenom生成一个powershell的payload,然后利用notepad写进去,右键管理员权限执行,多次尝试,但是就是不上线!
换了一款纯powershell写的远控木马,也不能上线,又尝试配默认代理等等,最终也是没上线!

【0x09】

  新的突破口:右键“管理员权限运行”的时候,发现了360卫士!!
对我们的txt使用360卫士进行扫描,神奇的一幕发生了!右下角居然出现了360的图标!ssl-vpn真是太神奇了,吓了一大跳!右下角托盘都要模拟下!

360

360-2

【0x0A】
  360成了帮凶:调出360卫士的主界面后,思路豁然开朗了许多!要知道360(这**)运行的权限可是非常高的!
  利用360卫士的推广功能,运行“软件管家”。
  然后找到“360极速浏览器”,利用一键安装,分分钟安装了一个新的浏览器,同时“软件管家”在安装后,提供了“打开软件”的功能,成功调用“360极速浏览器”,这样就能绕过ie下载限制,可以随意的下载东西了!

360浏览器

【0x0B】
  再次陷入瓶颈:虽然360浏览器能绕过下载限制,但是下载下来的木马却依然不能运行。而且发现利用“360极速浏览器”下载的东西,默认不能保存的c盘,猜测应该是管理员做了策略限制,对c盘没有访问权限,之前的cmd不能执行成功应该也是一样的原因。

【0x0C】

  转机:然后继续看看360卫士提供的其他功能,发现了进程管理器:

360任务管理器

尝试利用这个功能结束了我们之前打开的notepad,发现可以结束。
说明360已经给我们提供了非常高的权限!
绕过的希望应该非常大!

【0x0D

  突破前夕:继续挖掘“软件管理”,利用它“一键安装了notepad++”,并调用!
安装npp的目的是因为我自己对npp非常熟悉,知道npp提供了一个功能,调用cmd:打开文件所在目录的cmd。

npp

同时也验证了之前的猜想:果然是有策略在限制!

npp2

【0x0E】
  完全突破:已经可以打开cmd了,就剩下绕过策略了!
这里纠结了很长很长时间,最后无意使用360卫士的扫描功能!
不扫不知道,一扫吓一跳:
直接把管理员设置的组策略给扫描出来了,而且建议修复!

突破

哈哈,那就修复呗!
由于管理员已经发现了有人绕过沙盒,并且重新部署了策略,我就不再复现了。

【0x0F】

   最后:策略被清除后,剩下的事情就非常简单了:

最后
【via@90sec-L34Rn】 本文经作者授权转载,未经授权请勿转载本文