應(yīng)用虛擬化攻防.docx

你所不知道的滲透測(cè)試：應(yīng)用虛擬化的攻防Web滲透測(cè)試大家都耳熟能詳，但是針對(duì)應(yīng)用虛擬化的滲透測(cè)試或許大家比較少接觸，而且網(wǎng)上也沒有相關(guān)的資料。作為前沿攻防團(tuán)隊(duì)，本期技術(shù)專題將結(jié)合過往的項(xiàng)目經(jīng)驗(yàn)，針對(duì)應(yīng)用虛擬化技術(shù)給大家介紹一下相關(guān)的攻防技術(shù)。首先介紹一下什么是應(yīng)用虛擬化，其實(shí)應(yīng)用虛擬化是指應(yīng)用/服務(wù)器計(jì)算A/S架構(gòu)，采用類似虛擬終端的技術(shù)，把應(yīng)用程序的人機(jī)交互邏輯(應(yīng)用程序界面、鍵盤及鼠標(biāo)的操作等)與計(jì)算邏輯隔離開來，服務(wù)器端為用戶開設(shè)獨(dú)立的會(huì)話空間，應(yīng)用程序的計(jì)算邏輯在這個(gè)會(huì)話空間中運(yùn)行，把變化后的人機(jī)交互邏輯傳送給客戶端，并且在客戶端相應(yīng)設(shè)備展示出來，通俗的說法為“瘦終端”。目前，主流的廠家有Ctrix，VMWare等，下圖為Ctrix的應(yīng)用虛擬化樣例：通過這種應(yīng)用虛擬化技術(shù)，對(duì)于企業(yè)來說，能夠提高員工辦公的效率，增加效益，對(duì)于辦公人員來說，則可以在實(shí)現(xiàn)隨時(shí)隨地的辦公，提高了便捷型，可謂是雙方得益，然而越便捷的東西，就意味著他的脆弱性越高，而且在部署這類型應(yīng)用虛擬化的產(chǎn)品時(shí)，大部分的工程人員并無安全經(jīng)驗(yàn)，很多細(xì)節(jié)的安全問題并未得到重視，TRT在項(xiàng)目過程中遇到的這類型系統(tǒng)基本都是輕而易舉的入侵成功。攻防是一個(gè)持續(xù)過程，在滲透測(cè)試的過程中，我們必須知己知彼才能百戰(zhàn)百勝，了解應(yīng)用系統(tǒng)是很關(guān)鍵的，所以我們還是得簡(jiǎn)單介紹一下應(yīng)用虛擬化的工作模式，以Ctrix的XenApp作為例子：客戶端通過訪問CtrixWeb Interface 并選擇所需要打開的應(yīng)用，如下圖，那么Ctrix Web Interface就會(huì)調(diào)用數(shù)據(jù)中心的應(yīng)用服務(wù)器打開該應(yīng)用，同時(shí)通過特殊的協(xié)議，如Citrix ICA，將應(yīng)用服務(wù)器所打開的應(yīng)用映射到用戶的客戶端。應(yīng)用的所有操作均在數(shù)據(jù)中心完成，用戶即使不安裝該應(yīng)用也能使用該應(yīng)用。那么問題來了，既然打開的應(yīng)用是在數(shù)據(jù)中心，那就意味著，使用者是直接操作數(shù)據(jù)中心的服務(wù)器，如果應(yīng)用的訪問控制沒有做好，那么就意味著，攻擊者能夠利用訪問控制的缺失訪問非授權(quán)的資源，甚至直接控制服務(wù)器。一般情況下，管理員在部署應(yīng)用虛擬化時(shí)都會(huì)禁止用戶直接調(diào)用CMD、任務(wù)管理器、組策略、控制面板、注冊(cè)表、瀏覽C盤目錄、寫入文件等，但總會(huì)有一些疏忽之處，TRT團(tuán)隊(duì)總結(jié)出了不少逃逸的技巧，挑選幾項(xiàng)給大家分享一下：調(diào)用BAT、VBS執(zhí)行代碼場(chǎng)景1：如果通過管理員禁止調(diào)用任務(wù)管理器、注冊(cè)表、組策略等，同時(shí)也禁止了用戶瀏覽C盤目錄，限制了用戶執(zhí)行cmd.exe的權(quán)限，無法通過調(diào)用CMD執(zhí)行命令。突破方式：一般情況下，管理員禁止了用戶瀏覽C盤目錄，但禁止不了用戶正常瀏覽用戶桌面(在windows 2008系統(tǒng)C:USER登錄用戶名的文件夾下，也同樣可以正常瀏覽)，攻擊者只需要調(diào)出瀏覽用戶桌面即可，如IE，Word都具備打開本地文件的功能，以IE為例，可以使用IE的“查看下載”“選項(xiàng)”“瀏覽”，打開資源管理器：1、盡管多個(gè)地方做了瀏覽及寫入限制，但在默認(rèn)情況下，如WINDWOS 2008系統(tǒng)的C:USER登錄用戶名的文件夾或桌面文件夾是具備訪問和寫入權(quán)限的，我們可以通過寫入VBS、BAT命令遠(yuǎn)程執(zhí)行代碼，然后將執(zhí)行的結(jié)果輸出到C:USER登錄用戶名的文件夾下，成功執(zhí)行遠(yuǎn)程代碼。2、調(diào)用宏命令執(zhí)行代碼：場(chǎng)景2：在場(chǎng)景1的前提下，如果管理員禁止了目錄的執(zhí)行權(quán)限，導(dǎo)致C:USER登錄用戶名的文件夾的目錄無法執(zhí)行命令時(shí)。突破方式：由于用戶進(jìn)行了執(zhí)行的限制，那我們可以利用“應(yīng)用”為我們執(zhí)行命令。利用上述的方式打開資源管理器，通過Ctrix的遠(yuǎn)程掛載客戶端硬盤的功能，在本地的磁盤打開一個(gè)新建的Excel，新建一個(gè)宏，利用宏命令的shell()函數(shù)(該函數(shù)能夠通過宏直接調(diào)用cmd命令)，如下圖Shell “cmd /c ipconfig c:Userxxx文件名.txt”如果存在word、Microsoft Access、PowerPoint應(yīng)用的話，同樣也通過新建一個(gè)宏，利用宏命令的shell()函數(shù)(該函數(shù)能夠通過宏直接調(diào)用cmd命令)，如下圖Word:Access:Powerpoint:使用X-shell執(zhí)行系統(tǒng)代碼場(chǎng)景3：在場(chǎng)景1的前提下，如果管理員禁止了目錄的執(zhí)行權(quán)限，導(dǎo)致C:USER登錄用戶名的文件夾的目錄無法執(zhí)行命令時(shí)。突破方式：瀏覽云主機(jī)的文件夾時(shí)，曾發(fā)現(xiàn)部分管理員會(huì)為了方便管理，安裝X-SHELL，這時(shí)就可以用利用X-SHELL執(zhí)行系統(tǒng)命令。默認(rèn)情況下，X-SHELL能夠執(zhí)行的系統(tǒng)命令特別有限：直接運(yùn)行一些系統(tǒng)命令時(shí)，提示command not found但是可以通過類似管道符的方式，如ipconfig | net user形式執(zhí)行系統(tǒng)命令：通過以上方式，可以達(dá)到執(zhí)行系統(tǒng)命令的效果。開發(fā)者模式執(zhí)行代碼場(chǎng)景4：在場(chǎng)景1和場(chǎng)景2的前提下，如果用戶只發(fā)布了IE，也對(duì)C盤目錄做了限制，甚至猥瑣到你禁止跳轉(zhuǎn)到任何目錄上，但依然有辦法突破。突破方式：由于打開的是當(dāng)前目標(biāo)服務(wù)器的IE，可以通過IE的開發(fā)者工具的調(diào)試功能，通過Javascript調(diào)用命令行的方式打開目標(biāo)服務(wù)器的命令行，執(zhí)行命令。下圖為通過IE打開命令行的方法截圖：上述是我們?cè)诓煌?xiàng)目過程中，發(fā)現(xiàn)的部分應(yīng)用虛擬化所存在的安全問題，有攻才有防，在攻防的過程中，我們更重視防御的方法，針對(duì)部署應(yīng)用虛擬化我們建議除了做禁止用戶直接調(diào)用CMD、任務(wù)管理器、組策略、控制面板、注冊(cè)表、瀏覽C盤目錄及寫入文件、目錄的執(zhí)行權(quán)限等之外，還需要做以下的防護(hù)：1、限制用戶使用快捷鍵方式打開資源管理器。2、除了對(duì)cmd.exe進(jìn)行限制外，還需要對(duì)system32下面的應(yīng)用進(jìn)行限制，通過策略禁止普通用戶執(zhí)行該目錄下的應(yīng)用，如systeminfo、ipconfig、netstat、net，net1，copy，xcopy等。3、若office應(yīng)用軟件必須，建議通過策略禁止使用宏命令的使用。4、若開發(fā)者工具非必須，建議通過策略禁止IE的開發(fā)者工具。5、建議刪除不必要的第三方應(yīng)用。6、系統(tǒng)服務(wù)器及時(shí)更新補(bǔ)丁。本文版權(quán)屬于TRT團(tuán)隊(duì)，由團(tuán)隊(duì)成員121、Sampro、短信炸彈編寫。如果你覺得這篇文章有用，可以分享給自己的朋友，同樣希望更多的人也關(guān)注我們的微信公眾號(hào)trt917，我們會(huì)定期分享一些信息安全相關(guān)知識(shí)