按照micky演示的方法测试了一天,呵呵,真累,从中发现了几个有趣的东西:
(1)有些ica文件中会包含明文密码,有些ica文件中会包含22位、28位的加密字符串,关于这个加密字符串我一直很迷惑,也许只要在本地架设一套环境才能得出答案。
(2)通过Ctrl+F3进入系统后,用户权限较低,需要配合提权工具才行。一般当前用户目录可以写,但不能删除。执行文件权限较低。
(3)Citrix登录跟windows登录界面有相似之处,3389不能登录,而citrix却可以登录。
(4)关于Citrix的漏洞很多,可以到http://secunia.com/advisories/search/?search=citrix进行搜索。
(5)在查看这些资料时,找到webscarab这个东东的资料,功能非常强大,自带的教程涵盖了很多Web安全的知识点,可以在虚拟机中架设进行测试,进一步理解和掌握一些Web安全的方法和技巧。
(6)Citrix客户端必须要安装正确,官方提供的那个11版本的不太好用。我在http://www.antian365.com论坛提供了完整的版本。喜欢的朋友可以去看看。
