投稿方式：发送邮件至linwei#360，或登陆网页版在线投稿

许多组织及机构正逐步转向虚拟化架构，包括应用及桌面的虚拟化。这一过程通常会涉及如Citrix之类的虚拟化平台来提供服务。

对虚拟化平台而言，如果你配置不当或者锁定失败，那么用户可能会打破你原以为牢不可破的虚拟化环境。可能随后不久，你就会发现你的整个域都被攻陷了。

在这之前，网上可能有很多教程指导用户如何突破受限桌面环境，但据我们所知，这方面还没有一个全面的教程囊括受限桌面环境突破的各种办法。

这正是本文的目的所在，我们希望这是一篇实用的文章。当然，本文也会是一篇不断更新的文章，虽然我们做了大量的努力和研究，但可以肯定的是，我们没有覆盖每一种攻击方法。如果你认为我们在某些方面有所欠缺，请及时告知我们加以补充。

获取一个对话框通常是突破虚拟化环境的首个突破口，如果系统经过某种加固，这种方法常常能起到奇效。

即使你只能看到一个非常简单的Notepad应用，你手头上还是有许多可选项的。

即使看起来最为无害、最为简单的应用也可能导致客户域被攻陷，这一点上已经有很多现实案例了。这种现象通常被称为“滚雪球”效应，其中某个小问题引发另一个问题，最终导致整个环境存在极大的安全风险。

许多标准的Windows应用程序通常都会提供某种接口来打开一个对话框：

当然有很多种方法可以打开一个对话框，然而，最简单的方法是：

1、“另存为（Save as）”/“打开为（Open as）”菜单项。

2、“打印（Print）”菜单项：选择“打印到文件（print to file）”选项（比如XPS/PDF等）。

打开对话框之后，我们可以此为立足点，开始探索整个系统，或者用来提升权限。能达到什么效果通常与你的创造力有关，但我们通常可以有以下几种方案：

（1）批处理文件：右键，依次选择“新建（New）”、“文本文件（Text File）”，重命名为.BAT（或者.CMD）文件，之后选择“编辑（Edit）”，“打开（Open）”。

（2）快捷方式：右键，依次选择“新建（New）”、“快捷方式（Shortcut）”、选择“%WINDIR%\system32”。

2、打开新的Windows资源管理器实例

在任意文件夹上右键，选择“在新窗口中打开（Open in new window）”。

（1）在任意文件或目录上右键，观察上下文菜单。

（2）点击“属性（Properties）”，重点观察对象是快捷方式，选择“打开文件路径（Open File Location）”按钮。

许多输入框都会接受文件路径，你可以尝试输入UNC路径，如“//attacker–pc/”或者“//

这是Windows出于兼容性而保留的一个16位程序。即使了。

这是一种不常用但行之有效的方法，我们可以在微软的画图工具中绘制特定的颜色，创建指向cmd.exe的快捷方式，最终获取shell接口。其原理与创建BMP文件所使用的编码算法有关，我们可以小心选择特定的RGB颜色，将ASCII数据写入到某个文件中。

1、打开MSPaint.exe，设置画布大小为：宽度=6，高度=1像素。

2、放大画布，以便操作。

3、使用颜色选择器，按从左到右的顺序，依次使用以下数值设置像素值：

5、将其扩展名从bmp改为bat，然后运行。

6.10 绕过交互式控制台限制

当交互式命令提示符被禁用时，我们通常可以使用“/K”或者“/C”参数运行cmd.exe。我们可以使用“cmd.exe /K pause”命令，就能绕过限制，载入一个交互式shell：

此外，我们也可以将“/C”参数传递给cmd.exe，创建一个非交互式的命令提示符会话。比如，我们可以使用如下命令“cmd.exe /C tasklist >c:\tasks.txt”。

虽然FTP客户端不能提供完全形式的命令行访问接口，但它通常是可用的，在其他通道都被堵死的情况下，我们可以在FTP客户端中使用“!dir”命令，罗列系统文件。此外，FTP客户端也可以用来传输数据，下载第三方工具。

其他一些有用的FTP命令：

绕过目标环境的写入限制是非常重要的一点，我们可以借助这类技术，找到上传第三方工具以及写入数据的系统区域。

在一个理想的环境中，最好的管理原则就是用户只能具备最低的写入权限，同时不会对其正常工作造成影响。在现实中，这意味着用户在本地文件系统中只能具备非常低的写权限。

临时目录是一个很好的突破口，用户几乎总是具备该目录的写权限。我们可以通过“%TEMP%”环境变量，枚举默认的临时目录位置，类似的命令为“echo %TEMP%”。临时文件目录通常为：

当然“%USERPROFILE%”目录也是另一个选择，不过该目录有可能会链接到某个网络共享文件夹。

我们可以使用这个工具，查找文件系统中我们具备哪些目录的写权限：

某些系统会使用白名单机制，只允许某些具备特定文件名或文件扩展名的应用程序运行。有些时候，我们可以将malware.exe重命名为白名单中的合法名称（如mspaint.exe），绕过白名单限制。

在某些配置不当的环境中，只要目录符合白名单标准，任何应用程序都可以运行。如果你正在测试的系统允许运行微软的Word程序，你可以尝试将待运行的程序拷贝到WINWORD.EXE所在的目录加以运行。

许多Web应用程序使用类似Citrix/远程服务/Kiosk平台之类的技术进行分发部署。因此，大多数情况下，这意味着用户需要Web浏览器才能访问这些应用程序。以老版本的Internet Explorer（IE）浏览器为例，我们可以借助IE浏览器，使用多种方式完成我们的任务：

9.1 对话框及菜单栏

1、地址栏：我们可以使用地址栏，填入前文提到过的各种路径及环境变量。例如可以使用 “file://c:\windows\system32\cmd.exe” 路径。

2、菜单栏：帮助菜单、打印菜单以及搜索菜单都包含某些链接及选项，可能指向并打开浏览器之外的外部资源（如Windows资源管理器）。

3、右键点击：右键菜单中包含某些非常有用的选项，比如“查看源码”（notepad）以及“保存图片为”菜单。

4、收藏菜单：打开收藏选项卡（ALT+C），将文件夹拖到浏览器窗口中，任意项目（如“MSN站点”）都可以。

我们可以将浏览器主页设置为任意值（如“cmd.exe”）来访问任意文件，当然这是一种快速但略不文雅的方法。

在IE浏览器中，我们可以使用F12快捷键打开开发者工具。选择“文件（File）”菜单中的“自定义Internet Explorer视图源”选项，我们有可能可以自主选择自定义程序。

根据我们的目的，我们可以选择“C:\windows\system32\cmd.exe”作为视图源，这样cmd.exe就成为IE中默认的HTML源代码查看器。最后，我们可以在某个网页上点击右键，选择“查看源码（View Source）”，开始探索旅途。

载入IE设置，转到“内容（Content）”选项卡，然后选择“证书（Certificates）”按钮。点击“导入（Import）”选项，会弹出如下向导：

向导的下一步会要求我们填入证书路径，这将打开一个Windows资源管理器（或者文件浏览类型）对话框。我们可以使用“三、滥用对话框”这一部分中的技巧来打破受限环境及提升权限。

9.5 浏览器附加组件/小程序/动态内容

默认情况下，IE的设计初衷是提供界面友好且内容丰富的用户体验。我们可以利用这一点，通过浏览器自身功能实现与操作系统的交互。在IE浏览器不被限制的情况下，我们可以使用ActiveX附加组件、Flash应用、Java小程序以及类似技术完成这一任务。

9.6 基于浏览器的漏洞利用

如果系统没有及时打补丁，不同版本的IE浏览器可能存在许多漏洞，攻击者可以访问精心构造的某个链接来利用这些漏洞。典型的利用平台就是Metasploit平台。

当然我们也可以诱骗系统上的另一个用户点击我们精心构造的那个链接，这意味着恶意代码会以这些用户的身份运行，如果这些用户是高权限账户那再好不过。

与IE浏览器类似，大多数环境中都提供Office套装以满足用户办公需求。同样，这也为我们提供了众多可利用的点。

我们可以使用msfencode/msfpayload轻松生成VBA代码，创建目标主机上的反弹型shell或Meterpreter shell。这种方法很少会被反病毒软件阻止。虽然Meterpreter shell非常有用，但以这种方式创建的shell会运行在当前文档用户的上下文环境中。当然我们可以根据目标系统的具体安全性设置，使用Meterpreter来提升权限。

所有的Office应用中都提供开发者工具，但这项功能默认情况下并没有被启用。不同版本启用开发者工具的方法有所不同，以Office 2010为例，该选项位于应用程序选项的“自定义功能区”选项卡中。开发者工具一旦启用，各种加载项就可以为我们提供丰富的功能。