CroodSolutions/CTRL-ESC-HOST

# CTRL+ESC+HOST CTRL+ESC+HOST 是一系列原子测试的集合，旨在识别和验证逃逸到主机 的漏洞，特别关注自助终端 和展示型应用。它采用文件夹结构进行组织，包含介绍逃逸到主机基础知识的章节、用于测试自助终端和展示型应用的剧本，以及我们利用该框架发现并修复的几个现实世界逃逸到主机问题的详细说明和演练。最后，还有一个章节用于整理防御建议，以降低与自助终端和展示型应用相关的风险。

## 如何使用此框架 该框架既适用于可能涉及自助终端或展示型应用的红队评估，也适用于希望运行测试以查看何时可能突破自助终端或展示型应用信任边界的防御者。我们将此框架组织为一系列相互关联的原子测试的引导式旅程，以暴露安全漏洞、风险和您不希望直接上线的问题——至少在未了解每个风险权衡的情况下不应上线。 **自助终端剧本** 部分进一步细分为测试主题： * **Win11 单应用自助终端模式 / 有人值守访问** * **Windows 上的第三方自助终端软件测试**（例如，如何测试您遇到的 HP POS、NCR、EnvisonWare 或其他类型的自助终端） * **Chrome 自助终端** * 用于其他自助终端平台的**占位文件夹**。 最健壮的部分与 **Win11 自助终端逃逸** 相关，该部分组织为一系列单独的策略流程，如果您进行红队评估，可以将这些策略链接在一起。 ## 我们为什么要创建这个？ 在我们自己的测试中，我们中的一些人注意到逃逸到主机的漏洞相当普遍，我们认为这是一个需要更多关注的主题。在某些情况下，供应商会忽略这些漏洞，直到该话题引起大量关注（例如，来自红队参与的客户工单或与之相关的大型公共讨论）。我们汇集了一系列资源和技术，为逃逸到主机测试提供了一个剧本，可应用于各种场景（从展示型应用到自助终端）。老实说——我们想黑掉所有的自助终端。它们就像宝可梦，只是多了屏幕和 USB 端口。 ## 背景 这一切始于几年前我们中的一些人对某些 Citrix ADC 基础设施进行攻击时。在完成了常规的 SOC/IR 步骤后，我们决定对 Citrix 进行一些紫队测试，看看存在什么样的攻击面使其成为如此诱人的目标。当然，在此之前和之后，他们的产品都有无数的 RCE 漏洞，但其他事情引起了我们的注意。我们中的一些人熬夜到凌晨 3 点，探索这些漏洞，后来我们向他们报告了这些漏洞（与 FlawdC0de 和 Kitsune-Sec 合作）。我们发现了多种从展示型应用逃逸到主机并最终破坏底层系统的方法。Citrix 的回应是，他们并不真正关心，由每个客户通过 GPO 为每个应用锁定 ADC 是他们自己的事。Kitsune-Sec 发现了人们早在我们之前就发现 Citrix 漏洞的资源，这证实了这一点（所以它们甚至并不真正是新的，至少大多数不是）。 但这开始了我们对该领域的兴趣，既因为我们继续更广泛地测试逃逸到主机的漏洞，也因为我们也开始分支测试自助终端软件上的相同漏洞。在使用经典自助终端黑客攻击的“基础知识”找到了逃离多种类型自助终端的方法后，我发现 Windows 11 单应用自助终端模式配合 MS Edge 是一个有趣的挑战。这让我开始探索 John Hammond 的视频，并引发了与 TechSpence、NotNordgaren 等人的对话。我们的第一篇关于“可能”是较新逃逸路径的文章将很快发布。 在通过 NotNordgaren 观看 John Hammond 出色的视频时，我注意到；这些视频不仅非常有助于提升我的理解，还让我明白了为什么我之前在 Win11 单应用自助终端（或所谓的有人值守访问）上尝试的某些操作不起作用。这是一个非常清晰的例子，说明像这样的分析如何提高安全性——Hammond 发现了漏洞，分享了信息，而且恕我直言，产品变得更好了。他还提到整理一套自助终端黑客攻击资源会很酷，这也是我们想做一段时间的事情。我们将在未来几个月开始发布内容，但也完全愿意联合力量，或者如果已经有类似项目，直接将其合并到更大的项目中。 Mspisces8 还向我指出，我们需要更广泛地思考什么构成自助终端甚至展示型应用。它们无处不在，我们可能遗漏了很多有益于识别和修复的漏洞。该项目希望作为社区建立势头，提高意识，改进我们针对此类漏洞的测试方式，最终引导修复和检测工程以降低风险。 ## ⚖️ 道德标准 / 行为准则 本项目旨在测试与逃逸到主机 漏洞相关的场景。只有当我们拥有有效的工具和资源来复制威胁行为者所使用的方法时，我们才能成功地进行防御。参与本项目和/或使用此信息意味着出于良好意图以道德方式使用这些技术以帮助更好地保护/防御，以及遵守所有适用法律和道德原则的意图。作为本项目一部分表达的观点是个人贡献者的观点，并不反映我们雇主或任何附属组织的观点。 ## 🤝 如何贡献 我们欢迎并鼓励贡献、参与和反馈——只要所有参与在性质上是合法和道德的。请开发新脚本，贡献想法，改进我们创建的脚本。本项目的目标是提出一个强大的测试框架，可供红/蓝/紫团队用于评估目的，希望有一天我们可以归档此项目，因为检测逻辑的改进使此攻击向量变得无关紧要。 1. **Fork** 本项目 2. **创建** 您的功能分支 (`git checkout -b feature/AmazingFeature`) 3. **提交** 您的更改 (`git commit -m 'Add some AmazingFeature'`) 4. **推送** 到分支 (`git push origin feature/AmazingFeature`) 5. **打开** 一个 Pull Request ## 🎖️ 致谢 对我们理解该主题的关键贡献者，以及直接的导师和/或团队成员： * [shammahwoods](https://github.com/shammahwoods) * [flawdC0de](https://github.com/flawdC0de) * [Kitsune-Sec](https://github.com/Kitsune-Sec) * [John Hammond](https://github.com/JohnHammond) * [NotNordGaren](https://x.com/NotNordgaren) * [TechSpence](https://github.com/techspence) * [Mspisces8](https://x.com/mspisces8) * [BiniamGebrehiwot1](https://github.com/BiniamGebrehiwot1) * Jordan Mastel * David Doyle * [christian-taillon](https://github.com/christian-taillon) * [Duncan4264](https://github.com/Duncan4264) * [Jake Frenzel](https://github.com/jakefrenzel) 这项直接工作始于 **Kitsune-Sec** 和 **FlawdC0de**，后来包括 **Shammahwoods**、**Mspisces8** 和其他人。许多其他人提供了建议、指导，和/或参与了我们的背景研究。 ## 参考资料与资源 ### 演讲与展示 * 特别感谢 **Paul Craig** 奠定的基础，他在自助终端黑客攻击主题上的基础工作，包括他在 **Def Con 19** 上的精彩演讲：[YouTube 链接](https://www.youtube.com/watch?v=LttwrHrLXoA) * 以及最近 **bSides Belfast** 的 **Jacob Steadman**：[YouTube 链接](https://www.youtube.com/watch?v=pZkpH3XV3h0) *（我想我们甚至平行地做了一些相同的事情，所以我们应该找时间合作一下）* ### 文章与博客文章 * [Breaking out of Citrix and other restricted desktop environments](https://www.pentestpartners.com/security-blog/breaking-out-of-citrix-and-other-restricted-desktop-environments/#usefulsystemadministrativetools) * [Escaping from GUI Applications - HackTricks](https://book.hacktricks.wiki/en/hardware-physical-access/escaping-from-gui-applications.html) * [Give me a browser, I'll give you a shell](https://medium.com/@Rend_/give-me-a-browser-ill-give-you-a-shell-de19811defa0) * [How to prevent hacking out of kiosk](https://payatu.com/blog/how-to-prevent-hacking-out-of-kiosk/)

标签：AI合规, API接口, Chrome Kiosk, CSV导出, Escape-to-Host, Kiosk安全, Libemu, Maven, POS安全, Web报告查看器, Windows 11, 信任边界, 协议分析, 单一应用模式, 原子测试, 反取证, 多语言支持, 安全测试框架, 安全评估, 展示应用程序, 数据展示, 权限提升, 漏洞验证, 红队, 评估方法论, 逃逸至主机, 防御加固, 防御建议