【安全漏洞】简要分析复现了最近的ProxyShell利用链

最新推荐文章于 2024-12-13 21:52:00 发布
原创 最新推荐文章于 2024-12-13 21:52:00 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全

本文简要分析并复现了近期的ProxyShell利用链,涉及微软Exchange服务的安全漏洞。通过ACL绕过和接口利用,攻击者可实现远程代码执行。修复原理主要是删除IsAutodiscoverV2Request判断以防止SSRF。建议关注网络安全的读者加强防护措施。

前言

近日,有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现了最近的ProxyShell利用链。
在这里插入图片描述
1.ProxyLogon: The most well-known pre-auth RCE chain

2.ProxyOracle: A plaintext-password recovery attacking chain

3.ProxyShell: The pre-auth RCE chain we demonstrated at Pwn2Own 2021

漏洞复现及分析

复现环境:
· Exchange Server 2016 Builder 15.1.1531
受影响版本:
· Exchange Server 2013 Versions < Builder 15.0.1497.012
· Exchange Server 2016 CU18 < Builder 15.1.2106.013
· Exchange Server 2016 CU19 < Builder 15.1.2176.009
· Exchange Server 2019 CU7 < Builder 15.2.0721.013

利用链大致分两个阶段,ACL绕过和在绕过前提下的wsdl的SOAP接口利用,最终能导致RCE,利用效果图如下:
在这里插入图片描述
1.ACL绕过
在ProxyLogon就存在SSRF,而ProxyShell的SSRF利用点稍有不同,但是利用原理还是一致的,在Exchange 端挂调试下断点,调试dll代码如下,可知URL前后解析方式如下:
在这里插入图片描述
解析前URL
在这里插入图片描述
解析后URL

https://Exchange:443/autodiscover/autodiscover.json?a=axx@foo.com/autodiscover/autodiscover.xml

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
https://Exhcage:444/autodiscove/autodiscover.xml

从结果看443端口转向 444端口,那么现在再去看在服务端Exchange的web站点分布情况,页面是跑在IIS组件上的,故而看IIS上的站点分布,存在前台服务和后台服务,即存在80到81、443到444的映射关系。
安全资料
在这里插入图片描述
前台服务
在这里插入图片描述
后台服务
现在看利用的本质就是在前台服务中存在校验缺失,导致外面发起的请求可以以前台服务的进程作为跳板进行后台服务资源的访问。
在这里插入图片描述
从代码上看
Microsoft.Exchange.FrontEndHttpProxy.dll【安全资料
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
伪代码如下

GetClientUrlForProxy(){
   
   
    If(isExplicitLogoRequest&&IsAutodiscoverV2Request(base.url))
RemoveExplicitLogoFromUrlAbsoluteUri(AbsoluteUri,ExplicitLogoaddress)
}
存在3个函数
1. GetClientUrlForProxy
2.<
最低0.47元/天 解锁文章
Exchange ProxyShell 攻击利用详解
渗透之路,攻防之间皆学问
12-27 687
攻击者利用该漏洞可绕过相关权限验证,进而配合其他漏洞可执行任意代码,控制Microsoft Exchange Server。环境:Exchange2016 15.1.2106。
内网渗透(八十六)之Exchange ProxyLogon攻击利用
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-30 1125
2021年3月2日,微软发布了Exchange服务器的紧急安全更新,修复了如下7个相关的漏洞。本节介绍Exchange任意文件写入漏洞与Exchange服务端请求伪造漏洞结合进行组合攻击。该组合攻击被称为Exchange ProxyLogon 攻击利用
安全漏洞ProxyShell漏洞复现详解
HBohan的博客
08-18 2433
前言 几天前,Orange在他的BlackHat演讲中又曝出了两条Microsoft Exchange攻击,即ProxyOrcale和ProxyShell,前者主要用于Padding Orcale攻击,后者则利用路径混淆漏洞实现任意文件写入并最终执行代码。 本文假设读者已经阅读了Orange的幻灯片,并对ProxyLogon具有基本的了解。 另外,请注意,出于显而易见的原因,这里不会公开相应的exploit。相反,本文旨在分享我在复现RCE漏洞和编写exploit方面的经验。 漏洞 SSRF 这个攻击是
Exchange邮件系统ProxyShell攻击复现小记,阿根廷某军队邮服系统渗透实战
2401_87376254的博客
12-13 907
对于如何从中危漏洞到getshell这一块没有举出详细例子解释,我认为这个资产归属听起来还是很哈人的,为了复健红队能力于是乎花了一个下午的时间战斗爽,最终也是成功的把这个资产捣鼓rce了 Exchange ProxyShell由三个Exchange的漏洞组成。CVE-2021-34473,SSRF漏洞;CVE-2021-34523 Exchange PowerShell BackEnd提权漏洞;最后CVE-2021-31207后台任意文件写入漏洞。有没有什么脚本能运行一下就把整个攻击复现完呢?有的,你川
Proxylogon-exploit:proxylogon漏洞-CVE-2021-26857
03-12
代理登录漏洞 proxylogon漏洞-CVE-2021-26857 用法: python exploit.py <ip> <email>
【BlackHat】速修复!有人正在扫描 Exchange 服务器寻找 ProxyShell 漏洞
smellycat000的专栏
08-09 896
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士在2021年黑帽大会上,研究员 Orange Tsai 发布了微软 Exchange ProxyShell 远程代码执行漏洞的详情...
exchange proxylogon漏洞学习
Shanfenglan's blog
09-26 2018
文章目录1. 前言2. 理解CAS2.1 理解Frontend中的proxy module2.1.1 分析ProxyRequestHandler-Request section2.1.2 分析ProxyRequestHandler-Proxy Section2.1.3 分析ProxyRequestHandler-Response Section2.2 理解Backend中的Rehydration Module3. 攻击点3.1 cve-2021-26855 SSRF漏洞3.2 CVE-2021-270
安全漏洞简要分析复现最近ProxyShell利用.md
2201_75660665的博客
12-08 1579
近日,有研究员公布了自己针对微软的Exchange服务的攻击的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现最近ProxyShell利用。SSRF漏洞看似危害不大,但是只要后续攻击够完整,一样能发挥关键作用,就像这次的绕过加利用,又或是之前看过SSRF到内网漫游的利用
exchange_webshell_detection:检测通过“ proxylogon”组漏洞(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065)利用的Microsoft Exchange服务器上掉落的Web外壳
03-06
在0天危害后检测Microsoft Exchange服务器上掉落的Web Shell 此脚本查找掉落在Microsoft Exchange服务器上的Webshel​​l,而这些Webshel​​l容易受到以下CVE的攻击: ,预认证SSRF,CVSS:3.0 9.1 / 8.4 ,不安全的反序列化导致特权升级到SYSTEM级别,CVSS:3.0 7.8 / 7.2 ,写后验证文件,CVSS:3.0 7.8 / 7.2 ,验证后写入文件,CVSS:3.0 7.8 / 7.2 2021年1月的最初活动归功于HAFNIUM,但此后其他威胁行为者掌握了这些漏洞并开始使用它们。 在Microsoft公开发布补丁程序之前(自2月27日左右),公开暴露的Exchange服务器开始被任意利用。 因此,在Microsoft发布最新的Exchange更新后立即安装这些更新并不能完全缓解先前
exprolog:ProxyLogon完全利用PoC(CVE-2021–26855,CVE-2021–26857,CVE-2021–26858,CVE-2021–27065)
03-25
ExProlog ProxyLogon完全利用PoC(CVE-2021–26855,CVE-2021–26857,CVE-2021–26858,CVE-2021–27065) Usage: exprolog.py [OPTIONS] ExProlog - ProxyLogon Full Exploit Chain PoC (CVE-2021–26855, CVE-2021–26857, CVE-2021–26858, CVE-2021–27065) Options: -t, --target TEXT MS Exchange Server (e.g. outlook.victim.corp). -e, --email TEXT Email (e.g. administrator@victim.corp). -x, --execute TEX
安全漏洞ProxyShell利用分析2——CVE-2021-34523
HBohan的博客
08-29 1063
前言 本文将要介绍ProxyShell中第二个漏洞的细节,分析利用思路。 简介 本文将要介绍以下内容: ◼CommonAccessToken ◼Exchange PowerShell Remoting ◼利用分析 CommonAccessToken 在上篇文章《ProxyShell利用分析1——CVE-2021-34473》提到,我没有找到通过参数指定EWS认证用户的方法,但是对于Exchange PowerShell Remoting,可以通过传入CommonAccessToken指定认证用户,访问Exc
ProxyShell Hide IP(隐藏IP地址工具)7.3.1注册版.rar
09-05
软件介绍: 安装说明:先打开proxyshell_hide_ip_setup.exe安装程序,安装之后不要立即启动软件,将Patch.exe复制到C:\Program Files\ProxyShell\ProxyShell Hide IP目录下,并运行patch。点击左侧的豹头图标按钮即可。ProxyShell Hide IP是一款隐藏本机IP代理上网工具,它可以快速帮助你隐藏自己的真实IP地址,程序会自动联网并更新最新的代理服务器列表,自动校验代理服务器的速度及可联通性,软件内置运行日志,支持站点规则设置。可以自己选择代理的IP地址,只需要点击Change IP就可以变更IP地址。
ProxyShell利用分析1——CVE-2021-34473
A_991128a的博客
01-13 724
为了获得用户的SID,我们可以使用Exchange SSRF漏洞(CVE-2021-26855)中的技巧,通过访问/autodiscover/autodiscover.xml获得legacyDn,作为参数继续访问/mapi/emsmdb,就能够获得用户对应的sid。为了读取Exchange GlobalAddressList(全局地址列表),我们需要获得Exchange组织内任一邮箱用户的凭据,对应到这个漏洞,我们仅仅需要邮箱用户名称。打开相关的dll文件并在待调试的位置下断点,选择附加进程开始调试。
Proxy Shell总结和收货
qq_34489443的博客
09-01 1167
目录 1.Proxy Shell的总体流程图如图所示 2.getaddrinfo和getnameinfo 3.定义一个结构体指针和定义一个结构体变量的区别 4.代理服务器缓存实现方法 5.在C语言中,结构体声明与C++有不一样的地方: 6.http数据包的具体格式 1.Proxy Shell的总体流程图如图所示 2.getaddrinfo和getnameinfo 其中在...
猎洞高手Orange Tsai 亲自讲解 ProxyShell write-up
smellycat000的专栏
08-19 1598
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士2021年4月,DEVCORE 研究团队成员 Orange Tsai 在Pwn2Own温哥华大赛上演示了位于微软 Exchange 中的...
内网渗透(八十七)之Exchange ProxyShell攻击利用
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-31 1392
2021年4月份,在Pwn2Oun 黑客大赛上,来自中国台湾地区的安全研究员Orange Tsai 利用 Exchange 最新漏洞 ProxyShell 攻击成功攻破了微软旗下的Exchange邮箱服务器,并因此夺得20万美元大奖。但是当时Orange Tsai 并未公布 ProxyShell 攻击漏洞利用详情。同时,微软发布了针对ProxyShell 攻击利用的安全补丁更新。
exchange proxyshell漏洞学习
Shanfenglan's blog
09-10 4937
文章目录1. proxyshell1.1 影响版本1.2 CVE-2021-34473参考文章 1. proxyshell proxyshell利用由三个cve组成,分别如下: — CVE-2021-34473 - 预认证路径混淆导致 ACL 绕过 — CVE-2021-34523 - Exchange PowerShell 后端的特权提升 — CVE-2021-31207 - 后认证任意文件写入导致 RCE 使用 ProxyShell,未经身份验证的攻击者可以通过暴露的 443 端口在 Microso
sharepoint漏洞
最新发布
03-11
<think>嗯,用户让我介绍一下SharePoint漏洞。首先,我需要确认自己对SharePoint的了解。SharePoint是微软的一个协作平台,主要用于文档管理和团队协作,企业用得比较多。所以它的漏洞可能影响挺大的,尤其是企业数据安全方面。 接下来,用户可能想知道常见的漏洞类型,比如最近有没有什么重大的漏洞事件。比如CVE编号的那些,比如ProxyShell或者最近的CVE-2023-29357,这些都需要提到。另外,攻击者通常如何利用这些漏洞,比如远程代码执行、权限提升之类的。 然后,用户可能关心漏洞的影响,比如数据泄露、系统被控制等。还有修复建议,比如及时打补丁,加强权限管理,定期审计日志这些措施。可能需要分点说明,结构清晰一点。 还要注意用户是普通用户还是企业IT人员。如果是普通用户,可能更关注影响和基本防护措施;如果是IT人员,可能需要详细的技术细节和修复步骤。但用户的问题比较一般,所以应该全面但不过于技术化。 另外,用户要求用中文,结构清晰,逐步解答。所以应该分点列出漏洞类型、案例、影响和防护措施。同时确保LaTeX格式正确,虽然这里可能用不上数学公式,但如果有涉及版本号或者代码的地方,可能需要用行内代码格式,不过用户提到的是数学表达式,所以可能不需要。 需要验证信息的准确性,比如CVE的细节是否正确,漏洞的利用方式是否有误。比如CVE-2023-29357确实是权限提升漏洞,影响SharePoint Server 2019,需要补丁KB5003435。这些信息需要确认正确。 可能还需要提到漏洞的严重性评分,比如CVSS分数,让用户了解漏洞的危险程度。另外,提醒用户关注微软的安全公告,及时更新,禁用不必要的服务,加强身份验证措施,比如多因素认证。 总结起来,回答的结构应该是先概述SharePoint及其漏洞的重要性,然后分类型、案例、影响和防护措施来展开。确保信息准确,语言简洁,符合用户的要求。</think>以下为分步介绍SharePoint漏洞的详细信息: ### 一、SharePoint漏洞概述 $$ \text{漏洞风险等级} \propto \frac{\text{系统暴露面}}{\text{安全防护强度}} $$ SharePoint作为微软企业级协作平台,其漏洞常涉及: - 远程代码执行(RCE) - 权限提升(EoP) - 服务端请求伪造(SSRF) - 信息泄露 ### 二、典型漏洞案例 1. **CVE-2023-29357**(2023年) - 类型:权限提升 - 影响:攻击者可通过伪造JWT令牌获取管理员权限 - 修复:安装2023年5月补丁KB5003435 2. **ProxyShell式攻击**(2021年) $$ \text{CVE-2021-34473} + \text{CVE-2021-34523} + \text{CVE-2021-31207} \rightarrow \text{RCE} $$ - 利用方式:通过Exchange服务器渗透SharePoint ### 三、漏洞利用影响 | 影响类型 | 具体表现 | |----------------|----------------------------| | 数据泄露 | 获取敏感文档/用户凭证 | | 系统控制 | 植入后门/勒索软件 | | 业务中断 | 服务不可用/数据篡改 | ### 四、防护措施 1. **补丁管理** - 启用Windows自动更新 - 定期检查[微软安全更新指南](https://msrc.microsoft.com/update-guide) 2. **攻击面缩减** ```powershell # 禁用不必要的Web服务 Disable-SPFeature -Identity "PublishingWeb" ``` 3. **强化验证** - 强制启用MFA - 限制NTLM认证 ### 五、漏洞检测方法 - 使用官方工具`SharePoint Best Practices Analyzer` - 渗透测试框架验证: $$ \exists \text{未经授权API端点} \Rightarrow \text{存在SSRF风险} $$ ### 六、事件响应建议 1. 立即隔离受影响服务器 2. 审计`_layouts/15`目录异常文件 3. 检查IIS日志中的异常POST请求 > **最新动态**:2024年发现新型钓鱼攻击通过SharePoint文档共享接传播,建议启用`接过期策略`。 如需具体漏洞验证步骤或企业防护方案,请提供更详细的环境信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值