Citrix Breakout

Recursos

• Breaking Out of Citrix and other Restricted Desktop Environments

• Breaking out of Windows Environments

Metodología para el break-out

1. Obtener acceso a un cuadro de diálogo.

2. Explotar el cuadro de diálogo para ejecutar comandos.

3. Escalar privilegios.

Bypassing Path Restrictions

Abrir un cuadro de diálogo con alguna aplicación de escritorio que tenga funcionalidades como Save, Save As, Open, Load, Browse, Import, Export, Help, Search, Scan y Print que permiten interactuar con archivos del sistema operativo.

Ingresar el path UNC en algún campo que lo permita, al presionar enter se gana acceso al directorio deseado.

\\127.0.0.1\c$\users\pmorgan

Acceder a un recurso compartido SMB desde un entorno restringido

Levantar un servidor SMB

sudo smbserver.py -smb2support share $(pwd)

Ingresar el path UNC del recurso compartido en algún campo que lo permita.

Para ejecutar un ejecutable se puede hacer click derecho y ejecutarlo.

En casos donde se imponen restricciones al explorador de archivos se pueden usar alternativas como Q-Dir o Explorer++.

Editores de registro alternativos

• Simple Registry Editor

• UberRegEdit

• Small Registry Editor

Modificar archivos de accesos directos

Modificar el path del acceso directo y establecer el path del ejecutable deseado.

1. Click derecho sobre el acceso directo deseado.

2. Seleccionar Properties.

3. Dentro del campo Target modificar el path.

4. Ejecutar el acceso directo.

Como alternativo se puede transferir un acceso directo existente usando un SMB server o creando uno con PowerShell.

Script Execution

Si las extensiones .bat, .vbs o .ps están configuradas para ejecutar su código automáticamente usando sus respectivos intérpretes.

1. Crear un archivo de texto y nombrarlo evil.bat.

2. Abrir evil.bat con un editor de texto como Notepad.

3. Agregar el comando cmd.

Escalada de Privilegios

Con PowerUp.ps1 y PowerUp.ps1 se buscan vulnerabilidades. Si encontramos que la key Always Install Elevated está presente y seteada con los siguientes comandos o PowerUp.ps1

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

Creamos un archivo .msi

Import-Module .\PowerUp.ps1
Write-UserAddMSI

Creamos un nuevo usuario dentro del grupo Administrators con UserAdd.msi y abrimos una consola como el usuario creado.

runas /user:backdoor cmd

Bypassing UAC

Bypass-UAC

Import-Module .\Bypass-UAC.ps1
Bypass-UAC -Method UacMethodSysprep