Microsoft Exchange 远程命令执行 CVE-2021-27065 26857 26858 27065

一：漏洞描述🐑

Microsoft Exchange Server 是个消息与协作系统。Exchange Server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。2021年03月03日微软官方披露多个Exchange高危漏洞：

CVE-2021-26855

Exchange服务器端请求伪造漏洞。利用此漏洞的攻击者能够以Exchange Server发送HTTP请求，扫描内网，获取Exchange用户信息。

CVE-2021-26857

Exchange反序列化漏洞。该漏洞需要管理员权限，攻击者通过构造恶意请求，触发反序列化漏洞，在服务器上执行恶意代码。

CVE-2021-26858/CVE-2021-27065

Exchange中身份验证后的任意文件写入漏洞。攻击者可以通过CVE-2021-26855的ssrf漏洞获取到的Exchange administrator凭证，构造恶意请求，在系统上写入任意文件。

二:  漏洞影响🐇

Exchange 2013 Versions < 15.00.1497.012,

Exchange 2016 CU18 < 15.01.2106.013,

Exchange 2016 CU19 < 15.01.2176.009,

Exchange 2019 CU7 < 15.02.0721.013,

Exchange 2019 CU8 < 15.02.0792.010

三:  漏洞复现🐋

icon_hash="1768726119"

4篇关于原理的参考文章
https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
https://www.crowdstrike.com/blog/falcon-complete-stops-microsoft-exchange-server-zero-day-exploits/
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

可以看到首先请求了 **/rpc/**  这个目录
根据网上公布的 POC与EXP，可以看到 NTML协商消息会返回我们NTML询问信息， 其中包含了 AV_PAIR结构，其中包含了 后端服务器名称与域名

base64解密其中的加密部分

在通过解包的方法转换其中的数据就可以得到完整的后端服务器名称与域名

后面的大家就参考文章和EXP来研究原理吧，几篇文章和EXP已经很完整了

四:  漏洞POC🦉

EXP根据推特和Github几个脚本更改
默认打的邮箱为 administrator@xxx.xxx.cn(可以自行更改)
webshell路径和脚本文件中更改
运行的命令是 ping Dnslog证明漏洞存在(一些东西就大家自己看看脚本改吧~)

RCE脚本获取

公众号发送： CVE-2021-27065

最后

下面就是文库的公众号啦，更新的文章都会在第一时间推送在公众号

别忘了Github下载完给个小星星⭐

https://github.com/PeiQi0/PeiQi-WIKI-POC

本文始发于微信公众号（PeiQi文库）：Microsoft Exchange 远程命令执行 CVE-2021-27065 26857 26858 27065