前言
微软在上半年三月披露了关于Exchange邮件服务器CVE-2021–26855
(SSRF)与CVE-2021–27065
(任意文件写入)的漏洞,这两个漏洞配合可以造成未授权的webshell写入,是非常严重的高危漏洞。
CVE-2021–26855
是⼀个SSRF,只需要能够访问Exchange服务器,攻击者可以不经过任何类型的身份验证来利⽤此漏洞。
相关漏洞在C:\Program Files\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\bin
目录下的Microsoft.Exchange.FrontEndHttpProxy.dll
进入ProxyModule
类的OnPostAuthorizeRequest
函数,该函数用于对post请求的安全检查,函数中继续调用了该类的OnPostAuthorizeInternal
函数。
OnPostAuthorizeInternal
函数中调用SelectHandlerForUnauthenticatedRequest
函数,从函数名称上来看该函数作用为:寻找对未验证安全请求的处理方法。
跟进SelectHandlerForUnauthenticatedRequest
函数,发现对不同的ProtocolType
,生成了不同的 httpHandler
。而这个ProtocolType
正是url中的web子目录,比如请求/ecp/n.png
,ProtocolType
就是ecp。
当ProtocolType
为ecp时,如果BEResourceRequestHandler
类的CanHandle
函数返回值为真,就会使用BEResourceRequestHandler
作为处理方法。
跟进CanHandle
方法。
可以看到如果要返回真,则需要同时让GetBEResouceCookie
和IsResourceRequest
函数同时返回值为真。跟进这两个函数。
先看GetBEResouceCookie
,该函数要请求cookies中一个BEResource
字段的值,实际上就是X-BEResource
。
那么在cookies中设置一个X-BEResource
字段的值即可。IsResourceRequest
则是需要请求路径以.js
,.png
等结尾。
这时候回到OnPostAuthorizeInternal
函数中,由于BEResourceRequestHandler
是继承于ProxyRequstHandler
类的,就会执行((ProxyRequestHandler)httpHandler).Run(context)
,最终在HttpContext.RemapHandler
中把该httpHandler设置给this._remapHandler
,即是context.Handler。
又调用了Handler.BeginProcessRequest()
,此时Handler为BEResourceRequestHandler
,该类没有BeginProcessRequest
函数,但却继承了ProxyRequestHandler
。因此实际上调用的是ProxyRequestHandler.BeginProcessRequest()
函数。
BeginProcessRequest
函数创建线程调用ProxyRequestHandler.BeginCalculateTargetBackEnd
函数。该函数作用是根据Cookie中的X-BEResource
字段来判断与生成指向BackEnd的目标url。
继续跟入,BeginCalculateTargetBackEnd
调用ProxyRequestHandler.InternalBeginCalculateTargetBackEnd
方法。
InternalBeginCalculateTargetBackEnd
调用BEResourceRequestHandler.ResolveAnchorMailbox
方法。
BEResourceRequestHandler.ResolveAnchorMailbox
方法会获取X-BEResource
字段。
跟入查看BackEndServer.FromString
函数,会发现它依据~
符号切割beresourceCookie
字符串,前半段作为fqdn,后半段作为version。
fqdn为:全限定域名。在邮件中例如:sd@vip.com 而version指的是BackEndServer Version。
fqdn和verison变量将在ProxyRequestHandler.BeginProxyRequest
函数中调用的的GetTargetBackEndServerUrl
函数进行调用。
由于BackEndServer.Fqdn
是可控的,clientUrlForProxy.Host
则是可控的。
继续看ProxyRequestHandler.BeginProxyRequest
后面,ProxyRequestHandler.CreateServerRequest
将吧uri发送给后端服务器。
跟踪ProxyRequestHandler.CreateServerRequest
,函数中PrepareServerRequest
将进行uri代理请求的身份认证判断。
通过最后一个else绕过认证,达到一个SSRF漏洞攻击的过程。