探索ProxyNotShell漏洞利用工具:CVE-2022-41040与CVE-2022-41082的实战证明

于 2024-06-08 09:41:10 发布
阅读量1k 收藏 5
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00099/article/details/139540524

探索ProxyNotShell漏洞利用工具:CVE-2022-41040与CVE-2022-41082的实战证明

去发现同类优质开源项目:https://gitcode.com/

在网络安全领域中,及时发现和应对漏洞至关重要。最近,一个名为"ProxyNotShell"的安全事件引起了广泛关注,它涉及CVE-2022-41040和CVE-2022-41082两个高危漏洞,影响了Microsoft Exchange服务器。为了解决这个问题并帮助安全研究人员进行测试和防御,这里向大家推荐一个有效的Proof of Concept(PoC)工具。

1. 项目介绍

这个开源项目是一个Python脚本,poc_aug3.py,用于模拟ProxyNotShell漏洞的攻击行为。通过指定目标主机、用户名、密码和命令,它可以验证是否存在这两个漏洞,并可能允许远程执行代码。

2. 项目技术分析

该PoC依赖于requests_ntlm2requests库来处理NTLM身份验证和HTTP请求。其工作原理是模拟恶意用户对Exchange服务器的PowerShell后端发起攻击,尝试利用漏洞执行任意命令。脚本借鉴了越南Viettel CyberSecurity团队的PoC以及Gtsc的博客文章,结合ZeroDayInitiative公开的安全信息,确保了有效性。

3. 项目及技术应用场景

  • 研究与教育:对于安全研究员和学生来说,这是一个学习漏洞分析和防护策略的实际案例。
  • 企业防御:IT管理员可以使用这个工具对内部的Exchange服务器进行自我检查,以确认是否受到威胁。
  • 应急响应:在遭受类似攻击时,安全团队可以快速验证漏洞的存在性,以便立即采取修复措施。

4. 项目特点

  • 简洁高效:脚本代码简单明了,易于理解,且直接针对漏洞进行测试。
  • 兼容性良好:依赖的库是Python的标准包,方便部署,且支持NTLM身份验证。
  • 可配置性强:只需提供四个参数即可运行,灵活性高。
  • 社区支持:该项目链接到原始研究和相关资源,便于深入学习和交流。

总之,这个开源项目为应对ProxyNotShell提供了宝贵的实战工具,无论是提升你的安全意识,还是在实际环境中检测和抵御威胁,都是值得信赖的选择。如果你正在处理或研究这些Exchange服务器漏洞,不妨一试。为了保护您的网络环境,请务必谨慎操作,并在合法授权的范围内使用。

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升漏洞CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p443 <host>
内网域森林之ProxyNotShell漏洞利用
最新发布
Ms08067安全实验室
08-02 1229
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》在渗透测试过程,如果目标环境存在Exchange服务器,我们也需要测试是否存在已知的远程命令执行漏洞,这里首先介绍ProxyNotShellProxyNotShell和之前的ProxyShell一样,也是将几个漏洞组合起来使用,分别为CVE-2022-41040CVE-2022-41082ProxyNotShell利用链的第一...
2022年最常被利用的十大漏洞
qq_44005305的博客
03-07 629
福利:[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞CVE-2022-30190(非正式名称为“Follina”)在2022年5月被披露,它是微软Windows支持诊断工具(MSDT)中的一个远程代码执行漏洞,允许远程攻击者在目标系统上执行任意shell命令。
CVE-2022-41082:Microsoft Exchange 反序列化类型混淆 RCE 漏洞简单分析
CuiXY's Blog
10-23 1825
内嵌对象处理完成之后,接下来进一步反序列化 ServiceController 对象,但由于 ServiceController 在 types.ps1xml 中并没有定义 TargetTypeForDeserialization 信息,所以会在 Props 标签内嵌的 obj 中寻找 TargetTypeForDeserialization 属性,从而将反序列化的属性定义为 XamlReader,然后就会调用其 Parse 方法反序列化 S 标签中的数据。
微软补丁星期二修复6个已遭利用的0day和ProxyNotShell 0day
smellycat000的专栏
11-09 327
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士11月补丁日,微软发布了64个补丁修复自家产品,另外还发布了集成到微软产品中第三方中的5个其它漏洞,共计69个。这些漏洞中,有6个是已遭利用的0day。此外,微软还修复了两个 Exchange 0day。已遭利用的6个0day在已遭利用的6个0day中,有两个位于Exchange 中。它们是:CVE-2022-41028:微软Exchange S...
微软Exchange Server 0Day漏洞,尽快修复
u012288737的博客
10-01 2033
微软Exchange Server 0Day漏洞 2022 年 9 月 30 日更新:Microsoft 正在调查两个报告的影响 Microsoft Exchange Server 2013、Exchange Server 2016 和 Exchange Server 2019 的零日漏洞。第一个漏洞被识别为CVE-2022-41040,是一个服务器端请求伪造 (SSRF) 漏洞,另一个是标识为CVE-2022-41082,当攻击者可以访问 PowerShell 时允许远程代码执行 (RCE)。
Exchange漏洞检测新工具CVE-2022-41040 & CVE-2022-41082脚本
- CVE-2022-41082:这是一个远程代码执行漏洞,同样存在于Microsoft Exchange Server。利用漏洞,攻击者能够在服务器上执行任意代码,从而完全控制受影响的系统。 2. Microsoft Exchange Server: - Exchange ...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-...
Exchange漏洞
Fiverya的博客
02-07 3261
Exchange漏洞
CVE-2022-1040 Sophos Firewall 服务架构认证绕过漏洞分析之旅
include_voidmain的博客
07-21 2159
CVE-2022-1040 Sophos Firewall 服务架构认证绕过漏洞分析之旅
PowerShell远程代码执行漏洞(CVE-2022-41076)分析复现
C20220511的博客
03-09 1111
使用dnspy调试器附加上该进程,反编译系统模块System.Management.Automation.dll,在登录Exchange PowerShell时,将调用该文件包含的System.Management.Automation.Remoting.ServerRemoteSession类中的HandleCreateRunspacePool()函数。其中“cve-user”是新建的普通域用户账号,“4rfv5tgb.”是域用户密码,同样也是Exchange的账号和密码,“
【已复现】Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告
smellycat000的专栏
12-26 2401
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发功能外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选和OWA(基于Web的电子邮件存取)。近日,奇安信CERT监测到CrowdStrike发布针对Microsoft Exchange...
【安全漏洞】ProxyShell漏洞复现详解
HBohan的博客
08-18 2280
前言 几天前,Orange在他的BlackHat演讲中又曝出了两条Microsoft Exchange攻击链,即ProxyOrcale和ProxyShell,前者主要用于Padding Orcale攻击,后者则利用路径混淆漏洞实现任意文件写入并最终执行代码。 本文假设读者已经阅读了Orange的幻灯片,并对ProxyLogon具有基本的了解。 另外,请注意,出于显而易见的原因,这里不会公开相应的exploit。相反,本文旨在分享我在复现RCE漏洞和编写exploit方面的经验。 漏洞链 SSRF 这个攻击是
【安全漏洞】简要分析复现了最近的ProxyShell利用
HBohan的博客
08-29 1004
前言 近日,有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致现在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析复现了最近的ProxyShell利用链。 1.ProxyLogon: The most well-known pre-auth RCE chain 2.ProxyOracle: A plaintext-password recovery attacking chain 3.ProxyShell:
ShowDoc远程下载导致文件上传漏洞分析 CVE-2021-36440&CVE-2022-1034
afei001
08-06 1183
根据Pd1r提交的漏洞POC。可以知道漏洞触发点在:server/Application/Api/Controller/AdminUpdateController.class.php Burp构造数据包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戴洵珠Gerald

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值