D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Всем привет!
Пока многие отходят от новогодних праздников, решил написать статью про нашумевшую CVE-2023-4966. У многих возникали с ней проблемы, в том числе и у меня. Так что я решил подробнее разобраться в вопросе и поделиться с Вами) Сразу скажу, что хороших доступов, которые можно продать, там почти не осталось. Но тем не менее, там есть те, на которых можно совершенствовать свои навыки в пентесте, а это тоже дорогого стоит. Так что давайте приступим.
- Что представляет из себя CITRIX BLEED
- Разведка
- Эксплуатация
- Автоматизация
CVE-2023-4966 aka CITRIX BLEED aka цитрикс блэт
Немного теории
Citrix NetScaler ADC (Application delivery controller) — многофункциональное решение, которое в своей максимальной редакции обеспечивает три важнейшие сетевые функции — балансировку нагрузки сетевых приложений (load balancing), "безопасность" приложений и ресурсов (firewall), организацию удаленного доступа к корпоративной сети предприятия (vpn service). И как раз за организацию этого удаленного доступа отвечает Citrix NetScaler Gateway, он позволяет получать "безопасный" удаленный доступ через один URL к приложениям и данным, которые находятся в ЦОДе или облаке.Cама уязвимость затрагивает эти продукты. Каким образом она это делает?
Принцип работы citrx bleed
О принципе её работы хорошо рассказали западные ресёрчеры: https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966Но вкратце, это примитивное переполнение буффера в http заголовке, позволяющее сдампить память и получить из неё session token (cookie).
Разведка. Находим хосты с citrix
Есть разные методы нахождения хостов, на которых есть citrix. Основные из них - это сканирование, либо использование таких сайтов как shodan, zoomeye, censys, fofa и прочие, их сейчас очень много. Сканирование хоть и является самым эффективным способом, но я выбрал старый добрый шодан для своих дел, т.к. на сканирование нужны сервера, деньги и много времени. Вообще, на шодан тоже нужны деньги, но добрый дядя DOC любезно предоставил мне shodan api key бесплатно в раздаче. Большое ему спасибо! Заходим в терминал, прописываем:
shodan init "наш api key"К сожалению, шодан пока не находит заведомо уязвимые к citrix bleed хосты по запросу "vuln:CVE-2023-4966", поэтому искать их нам придется самим.
Наш search query (запрос к апи шодана) выглядит следующим образом:
'http.favicon.hash:-1292923998, -1166125415 -country:RU,UA,KZ,BY' - мы будем искать хосты по хэшу http иконки цитрикса, которые не находятся в СНГ.Далее нам нужно выгрузить все результаты:
shodan download --limit -1 citrixhosts 'http.favicon.hash:-1292923998,-1166125415 -country:RU,UA,KZ,BY' Здесь мы указали limit -1, чтобы Скачать
View hidden content is available for registered users!