1、简介

Citrix XenApp是一种按需应用交付解决方案，能够在数据中心对所有Windows应用实现虚拟化、集中部署和管理，并能作为一项服务、通过任何设备向所有用户交付应用。

2、漏洞描述

以普通用户权限登陆Citrix APP可越权调取cmd窗口。

由于在XenApp上运行的程序实际都是在服务器上运行的，导致在客户端可以看到服务器上的一些资源并且调用且在获取权限后可以进一步进行横向利用。

3、利用过程

对执行渗透测试任务时候，偶然发现泄漏的Citrix APP账号信息后的利用。

首先我们以普通用户权限登陆Citrix，登陆后点击语言栏

随后点击打印，将其打印到文件

通过浏览资源管理器窗口可越权调出cmd窗口并执行系统命令

通过powershell远程加在后门文件，发现上传后被杀，系统存在赛门铁克杀毒软件。

由于项目时间有限想着直接把杀毒软件给卸载，奈何卸载赛门铁克需要密码。

我们发现普通用户登陆Citrix APP时，越权调用资源管理器窗口的时候发现系统资源管理器与虚拟桌面之间互通，此时我们直接上传赛门铁克卸载工具，绕过密码直接将杀软卸载。

CS上线

随后上传frp代理后进行内网穿透，代理成功后发现出口ip已经改变

下面就可以愉快的打内网啦。