exchange proxylogon漏洞学习

最新推荐文章于 2024-12-25 14:59:14 发布
最新推荐文章于 2024-12-25 14:59:14 发布
阅读量1.8k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: exchange 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/120499018
本文深入剖析了Exchange客户端访问服务(CAS)的工作原理,重点分析了Frontend的ProxyModule和Backend的RehydrationModule,阐述了它们在请求处理中的角色。同时,详细讲解了CVE-2021-26855 SSRF漏洞和CVE-2021-27065认证后任意文件写入漏洞的利用机制。通过对HttpProxyProxyRequestHandler.cs和BackendRehydrationModule.cs的代码分析,揭示了攻击点和防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1. 前言

Exchange服务已经存在很多年,架构一直在变化而且愈来愈复杂,与此同时出现问题的可能性也更多了。

CAS模块,在Exchange 2016上正式成为Mailbox Role上的一个服务,ProxyLogon由此模块开始。

img

2. 理解CAS

CAS,全名是客户端访问服务。一句话概括,CAS是一个Exchange服务端代理,运行在443端口,真正的服务运行在exchange服务器的444端口。它可以代理所有协议的客户端访问,并将流量输送到服务端也就是Backend services。在代理的时候除了客户端原本的请求信息外,CAS还会自己在请求包中加一些数据。

cas中有许多服务例如autodiscover,他们一起构成了frontend,但他们都不是服务本身。不同的服务都有自己专属的proxy module,这些proxy module的作用是将流量传送给后端(backend)真正的服务。

真正的访问流程应该如下:

client<>echange:443(CAS也可以叫做frontend)<>exchange:444(backend)

img

CAS web端是基于IIS的,里面含有很多服务,例如POP3等如下图:

img

我们可知道Default Web Site是绑定在80和443端口,并且绑定在0.0.0.0的也就意味着所有人都可访问,Default Web Site可以理解成CAS所有服务的集合体,也可以叫做Frontend

而Back End在81、444端口,绑定的ip也是0.0.0.0,也是所有人都可以访问的。

Frontend必须有proxy module,它用来接收客户端发送的http请求然后加上一些配置后再发送给Backend。

Backend一定会有Rehydration Module模块,它是用来负责解析Frontend中proxy module发送过来的请求的,并将请求传送给真正的服务进行处理然后将结果返回给Frontend中的proxy module。

综上,CAS里有许多proxy module,这些模块负责接收流量,并将其正确的传送给backend。而backend的Rehydration Module模块负责接收这些流量并进行处理。整体通行过程是客户与CAS中的proxy module交互,proxy module与rehydration module交互。

2.1 理解Frontend中的proxy module

不同的服务有不同的proxy module,例如我们访问ews服务,对应的proxy module就是EwsProxyRequestHandler,EwsProxyRequestHandler和其他对应服务的handler都是继承了ProxyRequestHandler,然后实现自己的核心逻辑,例如,如何处理来自用户的HTTP请求,什么url要代理到Backend,以及如何与backend同步信息。

总的来说最重要的也就是这个父类ProxyRequestHandler了,因此我们好好分析一下他。根据ProxyRequestHandler.cs的代码,我们可以将其分为三部分:Request section、proxy section、Response section。

2.1.1 分析ProxyRequestHandler-Request section

Request Section是用来解析来自client的http请求的,它会接受请求并http请求是否合法,如果合法则会保留请求并添加客户端的身份信息到X-CommonAccessToken头中。

Frontend根Backend都是依靠http header来同步信息和代理内部状态的。因此,Exchange定义了一个黑名单,以避免一些内部Headers被误用。

HttpProxy\ProxyRequestHandler.cs

protected virtual bool ShouldCopyHeaderToServerRequest(string headerName) {
  return !string.Equals(headerName, "X-CommonAccessToken", OrdinalIgnoreCase) 
      && !string.Equals(headerName, "X-IsFromCafe", OrdinalIgnoreCase) 
      && !string.Equals(headerName, "X-SourceCafeServer", OrdinalIgnoreCase) 
      && !string.Equals(headerName, "msExchProxyUri", OrdinalIgnoreCase) 
      && !string.Equals(headerName, "X-MSExchangeActivityCtx", OrdinalIgnoreCase) 
      && !string.Equals(headerName, "return-client-request-id", OrdinalIgnoreCase) 
      && !string.Equals(headerName, "X-Forwarded-For", OrdinalIgnoreCase) 
      && (!headerName.StartsWith("X-Backend-Diag-", OrdinalIgnoreCase) 
      || this.ClientRequest.GetHttpRequestBase().IsProbeRequest());
}

也就意味着出现上述任何一个http header,这个http请求都不会被转发给backend。

在request的最后一步,会调用一个叫做AddProtocolSpecificHeadersToServerRequest的函数来加上一些需要与Backend进行交互的信息,并且会将当前用户的身份信息序列化后放到一个名为X-CommonAccessToken的http头中,例如,如果我使用名称 Orange 登录 Outlook Web Access (OWA),则X-CommonAccessToken前端到后端的代理将是:

img

2.1.2 分析ProxyRequestHandler-Proxy Section

首先会使用GetTargetBackendServerURL函数来确定Request section阶段得到的格式化的http请求应该被转发给backend的哪个url。然后使用CreateServerRequest函数来初始化一个新的http请求,具体就是给请求中加上一些http头并填入相关信息,其中有一个比较重要的是Authorization头,这个头的存在是为了阻止未认证用户直接访问Backend,这个头的内容是Kerberos ticket。通过这个头,当请求被传输给backend的时候,backend就可以判断请求是否有效。

综上,发送给backend的http请求中最重要的两个http头是authorization与x-CommonAccessToken,前者代表这个请求时合法的,后者代表访问者的身份信息。如果我们可以伪造这两个头则可以伪装人意用户的身份访问backend。

2.1.3 分析ProxyRequestHandler-Response Section

这一部分的作用是接收Backend发送过来的信息,并确定什么头或者cookie可以发送给frontend。

2.2 理解Backend中的Rehydration Module

这个模块被BackendRehydrationModule.cs中的代码实现。

当接收到ProxyRequestHandler发送过来的http请求的时候,Rehydration Module首先会使用IsAuthenticated函数判断这个请求是否经过身份认证,然后判断是否有一个叫做ms-Exch-EPI-Token-Serialization的扩张权限,当两者都通过验证的时候,才算验证成功。一般说来只有Exchange的服务账号(机器账号)才能通过验证。

通过验证后,Exhcange会将请求中的身份信息从Exchange机器账号的身份信息变为X-commonAccessToken中存储的身份信息。然后将其放入httpContext对象中,紧接着执行Backend中相关的其他业务逻辑。

Authentication\BackendRehydrationModule.cs

private void OnAuthenticateRequest(object source, EventArgs args) {
    if (httpContext.Request.IsAuthenticated) {
        this.ProcessRequest(httpContext);
    }
}

private void ProcessRequest(HttpContext httpContext) {
    CommonAccessToken token;
    if (this.TryGetCommonAccessToken(httpContext, out token)) {
        // ...
    }
}

private bool TryGetCommonAccessToken(HttpContext httpContext, out CommonAccessToken token) {
    string text = httpContext.Request.Headers["X-CommonAccessToken"];
    if (string.IsNullOrEmpty(text)) {
        return false;
    }
        
    bool flag;
    try {
        flag = this.IsTokenSerializationAllowed(httpContext.User.Identity as WindowsIdentity);
    } finally {
        httpContext.Items["BEValidateCATRightsLatency"] = stopwatch.ElapsedMilliseconds - elapsedMilliseconds;
    }

    token = CommonAccessToken.Deserialize(text);
    httpContext.Items["Item-CommonAccessToken"] = token;
    
    //...
}

private bool IsTokenSerializationAllowed(WindowsIdentity windowsIdentity) {
   flag2 = LocalServer.AllowsTokenSerializationBy(clientSecurityContext);
   return flag2;
}

private static bool AllowsTokenSerializationBy(ClientSecurityContext clientContext) {
    return LocalServer.HasExtendedRightOnServer(clientContext, 
        WellKnownGuid.TokenSerializationRightGuid);  // ms-Exch-EPI-Token-Serialization

}

综上CAS就是一个Http代理。

3. 攻击点

3.1 cve-2021-26855 SSRF漏洞

HttpProxy\ProxyRequestHandler.cs中有一个函数GetTargetBackEndServerUrl,上面说过这个函数是用来生成要传递给backend的url,也就是最终被访问的url。

我们发现其中一个host是客户端可控的,具体是被客户端请求中cookie中的一个名为X-AnonResource-Backend-Cookie的字段可控的。具体分隔方式是将X-AnonResource-Backend-Cookie的值用~进行分割,前面是fqdn,后面是version。

综上,只要我们控制X-AnonResource-Backend-Cookie字段,进而控制传递给backend的host,进而实现访问人意backend的api,也就形成了SSRF漏洞。

HttpProxy\ProxyRequestHandler.cs

protected virtual Uri GetTargetBackEndServerUrl() {
    this.LogElapsedTime("E_TargetBEUrl");
    Uri result;
    try {
      	//这里就会调用下面HttpProxy\OwaResourceProxyRequestHandler.cs的代码生成urlAnchorMailbox类
        UrlAnchorMailbox urlAnchorMailbox = this.AnchoredRoutingTarget.AnchorMailbox as UrlAnchorMailbox; 
      	
      
        if (urlAnchorMailbox != null) {
            result = urlAnchorMailbox.Url;
        } else {
            UriBuilder clientUrlForProxy = this.GetClientUrlForProxy();
            clientUrlForProxy.Scheme = Uri.UriSchemeHttps;
          // Host的值其实就是BackendServer也就是client发送的http请求中cookie中的X-AnonResource-Backend的值
            clientUrlForProxy.Host = this.AnchoredRoutingTarget.BackEndServer.Fqdn;
            clientUrlForProxy.Port = 444;
            if (this.AnchoredRoutingTarget.BackEndServer.Version < Server.E15MinVersion) {
                this.ProxyToDownLevel = true;
                RequestDetailsLoggerBase<RequestDetailsLogger>.SafeAppendGenericInfo(this.Logger, "ProxyToDownLevel", true);
                clientUrlForProxy.Port = 443;
            }
            result = clientUrlForProxy.Uri;
        }
    }
    finally {
        this.LogElapsedTime("L_TargetBEUrl");
    }
    return result;
}

HttpProxy\OwaResourceProxyRequestHandler.cs

protected override AnchorMailbox ResolveAnchorMailbox() {
   //将X-AnonResource-Backend赋值给httpCookie
    HttpCookie httpCookie = base.ClientRequest.Cookies["X-AnonResource-Backend"];
    if (httpCookie != null) {
      //将httpcookie赋值给saveBackendServer
        this.savedBackendServer = httpCookie.Value;
    }
    if (!string.IsNullOrEmpty(this.savedBackendServer)) {
        base.Logger.Set(3, "X-AnonResource-Backend-Cookie");
        if (ExTraceGlobals.VerboseTracer.IsTraceEnabled(1)) {
            ExTraceGlobals.VerboseTracer.TraceDebug<HttpCookie, int>((long)this.GetHashCode(), "[OwaResourceProxyRequestHandler::ResolveAnchorMailbox]: AnonResourceBackend cookie used: {0}; context {1}.", httpCookie, base.TraceContext);
        }
      	//通过修改将savedbackendserver赋值给BackEndServer的值
        return new ServerInfoAnchorMailbox(BackEndServer.FromString(this.savedBackendServer), this);
    }
    return new AnonymousAnchorMailbox(this);
}

3.2 CVE-2021-27065 认证后的任意文件写入

当我们访问的服务是/ECP且http请求的uri中资源的后缀合法(即以.skin等结尾,具体可看源码)的话,
在这里插入图片描述

就会使用BEResourceRequestHandler来进行url处理,在这种处理模式下,http头中的X-BEResource会对后端访问的真实url产生影响,及X-BEResource的值被~分隔,前面会变成host,后面是version。如下图,后端真正访问的其实是:444/ecp/proxyLogon.ecp#,而version是1:

img

接着利用autodiscover服务,获取administrator的LegacyDN、sid。
再使用proxyLogon获取ASP.NET_SessionId与msExchEcpCanary。
拥有以上参数后我们就可以伪造自己为administrator。
访问/ecpDDI/DDIService.svc服务来实现以administrator的身份来进行任意文件写入。

在这里插入图片描述

4. 参考文章

A New Attack Surface on MS Exchange Part 1 - ProxyLogon!

CVE-2021–26855与CVE-2021–27065漏洞分析及复现 _

proxylogon exp

Exchange “ProxyLogon”系列漏洞分析

Exchange ProxyLogon远程代码执行漏洞(CVE-2021-27065)和勒索病毒BlackKingdom家族
不忘初心,护天下安全!
04-29 2385
Microsoft Exchange Server远程代码执行(RCE)/ProxyLogon(CVE-2021-27065)和勒索病毒BlackKingdom
内网渗透(八十六)之Exchange ProxyLogon攻击链利用
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-30 1063
2021年3月2日,微软发布了Exchange服务器的紧急安全更新,修复了如下7个相关的漏洞。本节介绍Exchange任意文件写入漏洞Exchange服务端请求伪造漏洞结合进行组合攻击。该组合攻击链被称为Exchange ProxyLogon 攻击利用链。
proxylogscan:一种快速扫描Microsoft Exchange Server上漏洞的快速工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)
03-12
代理日志扫描 此工具用于大规模扫描Microsoft Exchange Server上的漏洞,该漏洞使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。 通过将此漏洞与另一个身份验证后任意文件写入漏洞链接在一起,以执行代码(CVE-2021-27065)。 结果,未经身份验证的攻击者可以在Microsoft Exchange Server上执行任意命令。 此漏洞会影响(Exchange 2013版本<15.00.1497.012,Exchange 2016 CU18 <15.01.2106.013,Exchange 2016 CU19 <15.01.2176.009,Exchange 2019 CU7 <15.02.0721.013,Exchange 2019 CU8 <15.02.0792.010)。 默认情况下,所有组件都容易受到攻击。 安装 必须 。 $ g
Proxylogon-exploit:proxylogon漏洞-CVE-2021-26857
03-12
代理登录漏洞 proxylogon漏洞-CVE-2021-26857 用法: python exploit.py <ip> <email>
Exchange ProxyLogon利用
qq_18811919的博客
03-18 2335
如何利用Exchange ProxyLogon+蚁剑进行获取shell
Exchange ProxyLogon 攻击链利用详解
最新发布
渗透之路,攻防之间皆学问
12-25 354
CVE-2021-26855 与 CVE-2021-27065 是微软在2021年3月2日发布的高危漏洞公告。这套组合拳被称为ProxyLogon,可直接获取目标邮件服务器主机权限。
ProxyLogon漏洞分析与Exchange Server防护建议
资源摘要信息:"ProxyLogon漏洞详细解析与防护措施" 在讨论Microsoft Exchange Server时,我们必须提及一个特别重要的安全漏洞——ProxyLogon。这个漏洞存在于Exchange服务器的特定版本中,它允许攻击者在无需验证...
ExProlog工具:针对ProxyLogon漏洞链的利用PoC
资源摘要信息: "ExProlog是一个关于微软Exchange服务器ProxyLogon漏洞完全利用链的PoC工具。该工具涉及的漏洞包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065。本工具提供了对这些漏洞的利用...
ProxyLogon:ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell)
03-25
适用于Python3的ProxyLogon ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell) usage : python ProxyLogon . py - - host = exchange . com - - mail = admin @ exchange . com python ProxyLogon . py - - host = exchange . com - - mails = . / mails . txt args : - - host : target ' s address . - - mail : exists user ' s mail . - - mails : mails file .
探索Proxylogon-exploit:邮件服务器安全的守护者
gitblog_00073的博客
06-26 437
探索Proxylogon-exploit:邮件服务器安全的守护者 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的浩瀚宇宙中,漏洞如同暗夜中的幽灵,稍不留意便可能成为灾难的温床。今天,我们将目光聚焦于一个备受关注的开源项目——Proxylogon-exploit,它直指CVE-2021-26857这一关键安全漏洞,为系统管理员和安全研究者提供了强大的工具,让我们一同揭...
ProxyLogon
03-25
代理登录 原始PoC: : 如何使用: python proxylogon.py <name> <user> 例子: python proxylogon.py primary administrator@lab.local 如果成功,您将进入网络外壳。 exit或quit以quit Web Shell(或Ctrl + C) 默认情况下,它将创建一个文件test.aspx 。 这可以更改。 支持: 不支持该项目,但PR已打开:) 特别鸣谢和资源: @Flangvik @Testanull
exprolog:ProxyLogon完全利用链PoC(CVE-2021–26855,CVE-2021–26857,CVE-2021–26858,CVE-2021–27065)
03-25
ExProlog ProxyLogon完全利用链PoC(CVE-2021–26855,CVE-2021–26857,CVE-2021–26858,CVE-2021–27065) Usage: exprolog.py [OPTIONS] ExProlog - ProxyLogon Full Exploit Chain PoC (CVE-2021–26855, CVE-2021–26857, CVE-2021–26858, CVE-2021–27065) Options: -t, --target TEXT MS Exchange Server (e.g. outlook.victim.corp). -e, --email TEXT Email (e.g. administrator@victim.corp). -x, --execute TEX
Proxylogon:ProxyLogon预授权SSRF到任意文件写入
03-12
ProxyLogon预授权SSRF到任意文件写入 用于教育和研究 经过测试: Windows-Python 3 / Linux-Python 3 时间线: 2021年3月8日,星期一:更新转储内容...(我还没有完成,您可以帮我完成这段代码吗;-;) 2021年3月9日,星期二:重制为简单的检查有效邮件 2021年3月10日,星期三:也许我正在执行此脚本,现在正在等待真正的CVE预身份验证 2021年3月11日,星期四:Proxylogon即将推出。 2021年3月12日,星期五:如果您不是脚本小子,您将知道如何运行proxylogon Sometime, some server extract domain tld is wrong Download users.txt list from github or u find it with Google Dork: intext:'
ProxyLogon-Useful-PowershellScripts:一个简单的Powershell脚本,可将计划任务导出到临时目录
03-17
介绍 你好! 鉴于最近的ProxyLogon攻击-我一直在跟踪有用的Powershell脚本,这些脚本可能会使系统管理员受益。 这些脚本可能会有所不同,可能对每个人都没有用,但可能会使异常组织受益。 随着时间的流逝,我将尽我所能继续更新这些脚本。 感谢您的阅读! 确保您的设备上允许执行策略: Set-ExecutionPolicy不受限制注意:执行后,最好重新设置为恢复原状 计划任务检查 说明:一个简单的Powershell脚本,可将计划任务导出到Temp目录。 可以帮助定位由攻击者安排的任务,以持久地保留在系统上。 用法: 。\ ScheduledTaskChecker.ps1 结果将在C:\ temp [DATE] ScheduledTasks.csv中找到 PCAL审核(登录审核时更改密码) 描述:您可以运行一个简单的脚本来验证哪些用户已设置为在下次登录时更改其密码。 用
ProxyLogon-CVE-2021-26855-metasploit:CVE-2021-26855 proxyLogon metasploit利用脚本
03-17
ProxyLogon-CVE-2021-26855-metasploit CVE-2021-26855 proxyLogon metasploit利用脚本
Exchange漏洞
Fiverya的博客
02-07 3305
Exchange漏洞
Microsoft Exchange 高危漏洞合集
02-06 1052
Microsoft Exchange任意用户伪造漏洞(CVE-2018-8581) 参考链接:https://blog.51cto.com/13741006/2347487?from=timeline CVE-2019-1040 Exchange服务远程代码执行漏洞复现(CVE-2020-0688) 参考文章:http://www.fr1sh.com/?post=24 Microsoft...
细数微软Exchange的那些高危漏洞
03-03 999
今天,多个安全厂家都发布了微软Exchange多个高危漏洞的通告,涉及漏洞编号CVE-2021-26855、CVE-2021-26857、CVE-2021-26858/CVE-2021-2...
Exchange漏洞分析:SSRF RCE
Galaxy_0的博客
01-10 651
Exchange漏洞分析:SSRF RCE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值