给我一个浏览器，我给你一个Shell

当我们进入内网中，目标是一台运行VDI  VMware Horizon 的 Windows 服务器。
您使用您的活动目录账户登录VDI并访问受限浏览器，该浏览器只允许您使用单个应用程序，没有互联网连接。

作为一名红队队员，我需要一个shell,而不是浏览器。

如果您唯一可以访问的是浏览器，您会怎么做？

第一部分：读文件

从读取服务器的文件开始怎么样？

只要我们不允许阅读它们，它就被视为LFI.

你已经看到了一个 URL，不是吗？仅据您所知，这就是将您带到本文的原因。

URL 有不同的部分：

我想谈的是第一部分，模式或协议。

协议指示将决定数据传输和交换的一组规则。

简而言之，协议说明了如何处理 URI 的其余部分。

例如，mailto协议表明 URI 的其余部分是电子邮件地址。单击mailto:[email protected]浏览器之类的链接会在您的默认电子邮件应用程序中打开一个邮件撰写页面，并将其设置[email protected]为收件人的电子邮件地址。

还有另一个很酷的协议叫做file. 通过使用它，您可以使用浏览器读取文件。

我尝试的第一个文件是hosts文件：

file:\C:WINDOWSSystem32driversetchosts

正如预期的那样，它返回了hosts文件的内容。

该file协议还显示目录的内容，

只要你给它那个目录的位置，就这么简单。

这是一个很好的例子：在 URL 栏中输入它，它会为你列出驱动器的内容

file:///c:/

第二部分：获取getshell

上传文件

document.write('<input/type=file>')

如果devtools出于任何原因禁用了怎么办？

让我向您介绍另一个有趣javascript的协议：如果浏览器是基于 chromium 的，您可以在 URL 栏中输入它并获得相同的结果：javascript:document.write('<input/type=file>')

我选择的方法是创建一个.bat包含内容的文件 cmd.exe并执行它以获取 shell。如果您在所在目录中具有写入和执行权限，则可以从此文件选择器窗口创建和执行文件。

但是可能会出现问题，如果file name extensions禁用该选项，则无法将文件扩展名更改为.bat并执行它.

当该选项被禁用时：

启用时:

好的，让我们在这里使用一个小技巧……

使用Open in new window您将可以访问操作系统的file explorer

从那里您可以更改file name extensions选项并启用它。然后创建和修改您的文件...

第三部分：更多，因为我是黑客

如果您无法打开file explorer并启用该file name extensions 选项或其他类型的限制怎么办？

让我帮助你，你在这张照片中看到了什么：

能够创建几个不同的文件？也许。

但我看到隐藏在这些选项中的反向外壳......

创建一个Microsoft Word Document，

打开它，

按 ALT+F11，

然后编写你的反向 shell 代码

这是Microsoft Word的脚本引擎，您可以Visual Basic使用此功能编写和执行代码。

这是社会工程师使用网络钓鱼电子邮件和恶意Word doc 附件渗透组织内部网络的功能。

更受限制？你不能创建文件？

在服务器上找到一个Word doc并编辑它:)

原文始发于微信公众号（红队笔记录）：给我一个浏览器，我给你一个Shell