前言
在某一次对设备运维管理的时候,发现的某安全大厂堡垒机设备存在绕过访问限制的问题,可以直接以低权限用户访问多个受控系统,此次发现是纯粹好奇心驱使下做的一个小测试压根没用任何工具。因为涉及到了很多设备和个人信息,所以尽量少放演示图片,且都进行了厚码。
第一次绕过(绕过页面添加限制)
首先,该堡垒机每次访问限制只会在一个RDP窗口中开启一个网站页面,如果再次访问也只会开启多个RDP窗口并不会添加新的网站页面。
同时RDP窗口中也限制了无法添加新的网站页面,如果直接在浏览器中添加新的网站页面,页面则会告警,提示“禁止访问”。
但我在这次运维的平台中存在一个大屏展示的功能,该功能正常使用本身就是会开启一个新页面的,而且该功能在堡垒机中确实能正常使用,这就直接创建了一个新页面。
第二次绕过(绕过堡垒机访问限制)
本来到上一步都是没什么问题的,至少没有危害,但接下来的操作我属实没有想到。
因为大屏展示是没有跳转到其他页面的功能的,我就想能不能通过修改URL访问到本系统的其他界面,测试后发现确实是可以的。那么我就想能不能通过改URL来访问其他受控系统(我登录的运维账号本身只有一个系统的访问权限)。
其实通过上面操作来看的话,网站的URL我们是可控的,只是说堡垒机会不会限制我们对其他系统的访问。至此,最有意思的来了,从结果来看确实是可以访问的,这就变成未授权访问了(我直接访问到了日志审计的平台,而且测试发现,其他受控系统也都均能访问且能正常登录)。
都到这一步了,很明显堡垒机没有对访问进行限制,那么我完全可以更改本身第一个堡垒机给的网站页面来越权访问其他受控系统,也是完全不受限制。
总结
文章只是记录了一下发现绕过的过程,第一次绕过和第二次绕过没有必然联系,即使系统没有跳转功能依然能通过修改URL访问到其他受控系统。
对于第一次绕过,就我个人用过的设备来看,有很多平台都是有类似的跳转功能的,就连该厂商的数据安全管控平台也一样存在此功能,本身这个逻辑没有问题,但却导致了同一个RDP窗口能访问多个网站页面。
而对于第二次绕过,这个毫无悬念肯定是属于漏洞的,已经越权访问到其他系统了。而且通过对该厂商设备规则的梳理,目前是没有任何告警规则会对此产生告警的,甚至堡垒机对此操作也没有行为记录,整个过程完全是无感的。如果在攻防演练中获取到了运维人员的系统密码表且刚好有低权限用户,那这危害还是比较大的。