Citrix Receiver簡介

Citrix Receiver是一種輕便的通用軟件客戶端,并帶有類似瀏覽器的可擴展“插件”架構。Receiver標配有多種可選插件,可在Citrix Delivery Center產品系列,如:XenApp、XenDesktop、Citrix Access Gateway和Branch Repeater中與前端基礎設施進行通信。這些插件支持的功能包括在線和離線應用、虛擬桌面交付、安全訪問控制、密碼管理、應用加速、多媒體加速、 服務級監測以及語音通信。

0x00 前言

如果對Citrix receiver或者其他云桌面平臺熟悉的話,那么本文才有其價值所在,否則就會認為是篇雞肋文章,即使如此,依舊建議走馬觀花過一遍,緣分很是奇妙,可能哪天你就會遇到這樣的環境。

用戶登陸平臺點擊對應的連接方式,即可在用戶端打開服務器端上面的應用程序進行本地操作,應用系統連接方式主要是各類主流瀏覽器,如IE、火狐、Google chrome等,可參考下圖:

主機系統連接方式主要是遠程類終端進行登錄,如:mstsc、redmin、putty、SecureCRT等。本文主要是利用應用系統映射的瀏覽器進行滲透。

0x01 瀏覽器利用

2.1 越權/SSRF

由于地址欄是可控,且瀏覽器功能也是完整的,所以可以通過修改授權的應用系統地址去訪問他人的系統,該漏洞可以認為是越權漏洞,由于這些操作都是通過服務器請求完成的,因此也可認為是服務器端請求偽造。

但是這個漏洞危害主要是越權訪問他人系統,以及探測他人服務器的端口信息,但是由于接入的系統都是經過基線檢查才接入的,所以弱口令幾率很小,該點不容易利用來進入到系統。

2.2 文件讀取

文件讀取主要是利用file協議,可讀取服務器中公共盤中的文件,如圖:

2.3 服務器端工具調用

服務器端工具調用主要是利用火狐瀏覽器對應用程序的處理方式,通過不斷嘗試發現使用telnet:///可以調用服務器上面的應用程序(火狐可以調用應用程序,Google可以調用telnet終端),如圖:

后面通過翻閱火狐瀏覽器配置發現了是由于火狐對應用程序的處理,如圖:

后面嘗試irc、ircs、webcal、mailto均可以,但是只對火狐瀏覽器有效,如圖:

但是由于服務器對自己C盤做了限制,雖然可以使用file讀取C盤文件,但是無法調用服務器上面的應用程序,直接如圖:

如果直接調用本地磁盤上面的應用程序,顯然權限是不夠的,不然的話所有客戶端還不是直接被控制了,調用失敗如圖:

2.4 默認關聯打開powershell

通過查看自己電腦上面的關聯程序,發現.psc1默認關聯PowerShell,如圖:

2.5 生成psc1文件

psc1文件可以使用Export-Console來進行生成,在powershell里面執行Export-Console F:\x.psc1即可得到一個psc1文件,如圖:

x.psc1:

<?xml version="1.0" encoding="utf-8"?><PSConsoleFile ConsoleSchemaVersion="1.0">  <PSVersion>5.1.17134.858</PSVersion>  <PSSnapIns /></PSConsoleFile>


由于我本地生成的psc1文件里面配置的版本過高,導致第一次沒有成功,通過修改版本為3.0即可成功。


<?xml version="1.0" encoding="utf-8"?><PSConsoleFile ConsoleSchemaVersion="1.0">  <PSVersion>3.0</PSVersion>  <PSSnapIns /></PSConsoleFile>


2.5.1 火狐瀏覽器getPowerShell

火狐瀏覽器可以直接通過file展示的文件單擊打開即可獲取powershell,如圖:

為了證明此shell不是本地的,截圖證明:

另外還可以通過telnet那幾個協議來進行調用本地的psc1來獲取服務器端的powershell,如圖:

這里雖然不會顯示.psc1文件,但是我們可以直接在文件名那里輸入x.psc1即可,如圖:

2.5.2 IE瀏覽器getPowerShell

由于服務器的IE瀏覽器禁用了地址欄,禁用了鼠標右鍵以及菜單、設置等功能,因此就在本地IE瀏覽器進行測試,在地址欄中直接訪問會提示下載,如圖:

2.5.3 Google瀏覽器getPowerShell

通過file點擊下載之后進行打開,如圖:

2.6 獲取powershell之后

通過上述獲取到powershell,那么就可以進行下一步的橫向滲透或者調用任意工具,同時也繞過了系統對C盤的限制,如圖:

注:由于這個系統是超重要系統,因此未進行下一步的提權操作!但是可以參考90sec社區中的另一篇文章:CitrixReceiver平臺的一次滲透測試【通過】


https://forum.90sec.com/t/topic/310


2.7 Firefox/Google瀏覽器SSRF內網端口掃描

使用Firefox或Google瀏覽器訪問telnet:///,第一個應用程序就是默認的telnet終端,如圖:

打開鏈接即可進入到telnet終端,由于服務器做了限制,這里使用本地測試,如圖:

0x02 修復建議

  1. 設置權限控制,對用戶訪問的資產進行白名單限制,白名單外的資產拒絕訪問!
  2. 最小化原則,禁用相關功能,如禁用鼠標右鍵、不顯示地址欄、不顯示菜單欄等,如圖:


citrix 服務器端
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接