近期需要重点关注安全漏洞汇总

声明：本人所分享内容仅用于网安喜好者之间的技术讨论，制止用于违法途径，所有渗入都需获取授权！否则需自行承当，本人及原

用户在向 Kerberos 密钥分发中心维护，将身份验证流量中继到目标服务器。文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

漏洞效果文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

通过这类袭击使得袭击者在仅有一个普通域账号的情况下可以远程节制 Windows 域内的任何机器，包含域控服务器。文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

影响版本文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

Windows 7 sp1 至Windows 10 1903文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

Windows Server 2008 至Windows Server 2019文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

应用场景文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

对于特定环境， CVE-2019-1040漏洞的袭击链目前已经肯定的两种袭击途径：文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

1、袭击域Exchange Server （下面以这类途径来描写）文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

2、袭击域AD Server（结合基于资源的束缚委派）文章源自微观生活（93wg.com）微观生活-https://93wg.com/15718.html

应用前提

A、Exchange服务器可以是任何版本（包含为PrivExchange修补的版本）。独一的请求是，在以同享权限或RBAC模式安装，Exchange默许拥有高权限。B、域内任意账户。（因为能发生SpoolService过错的独一请求是任何经由身份验证的域内帐户） C、CVE-2019-1040漏洞的实质是NTLM数据包完全性校验存在缺点，故可以修改NTLM身份验证数据包而不会使身份验证失效。而此袭击链中袭击者删除了了数据包中阻挠从SMB转发到LDAP的标志。D、构造要求使Exchange Server向袭击者进行身份验证，并通过LDAP将该身份验证中继到域节制器，便可使用中继受害者的权限在Active Directory中执行操作。比如为袭击者帐户授与DCSync权限。E、如果在可托但完整不同的AD林中有用户，一样可以在域中执行完整相同的袭击。（由于任何经由身份验证的用户均可以触发SpoolService反向连接）

漏洞应用袭击链

1、使用域内任意帐户，通过SMB连接到被袭击ExchangeServer，并指定中继袭击服务器。同时必需应用SpoolService过错触发反向SMB链接。2、中继服务器通过SMB回连袭击者主机，然后应用ntlmrelayx将应用CVE-2019-1040漏洞修改NTLM身份验证数据后的SMB要求据包中继到LDAP。3、使用中继的LDAP身份验证，此时Exchange Server可以为袭击者帐户授与DCSync权限。4、袭击者帐户使用DCSync转储AD域中的所有域用户密码哈希值（包括域管理员的hash，此时已拿下整个域）。

应用方式：

https://github.com/SecureAuthCorp/impackethttps://github.com/dirkjanm/krbrelayxhttps://github.com/Ridter/CVE-2019-1040https://github.com/Ridter/CVE-2019-1040-dcpwn同一网段内：https://www.freebuf.com/vuls/274091.html

隧道下：https://zhuanlan.zhihu.com/p/142080911

CVE-2019-1040+RBCD(基于资源的束缚性委派)+PetitPatom

域委派袭击

https://mp.weixin.qq.com/s/GdmnlsKJJXhElA4GuwxTKQ

NTLM Relay

https://www.anquanke.com/post/id/193149

https://www.anquanke.com/post/id/193493

https://www.anquanke.com/post/id/194069

https://www.anquanke.com/post/id/194514

ADCS漏洞--ESC8(PetitPotam)(ADCS relay)

ESC8是一个http的ntlm relay，缘由在于ADCS的认证中支撑NTLM认证

漏洞效果：

将普通域用户晋升到域管权限

应用前提：

1.未打adcs的补钉 2.有两台域控 3.有adcs服务

应用方式：

https://blog.csdn.net/qq_43645782/article/details/119322322

https://forum.butian.net/share/1583

ADCS漏洞--CVE-2022–26923

漏洞影响: 允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默许 Active Directory 环境中将权限晋升到域管理员

漏洞组件：活动目录证书服务(Active Directory Certificate Services,AD CS)

漏洞简述：通过构造机器账户并篡改dNSHostName属性，在证书申请时AD CS将dNSHostName属性嵌入证书中，进而机器账户取得高权限的域控身份。

受影响的 Windows 版本：

Windows 8.1

Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2

Windows 11

Windows Server 2008，2012，2016，2019，2022

应用先决前提：

CVE-2022-26923/CVE-2022-26931漏洞与2021年CVE-2021-42278/CVE-2021-42287sAMAccountName spoofing漏洞相似，均通过应用捏造域节制器名称身份来进行相关的提权操作。它的应用先决前提为：

该提权漏洞合用于所有的Windows服务器活动目录版本，包括目前位于微软产品支撑规模内的Windows Server 2012 R2到Windows Server 2022，和超越产品支撑规模的旧Windows服务器版本。

入侵者至少节制一个活动目录用户账户，该用户账户对于活动目录中至少一个计算机账户拥有“Validated write to DNS host name”权限。默许情况下，单个活动目录普通域用户可以加入或创立（包括创立空账户）10个计算机账户到活动目录中，并对自己所加入/创立的计算机账户拥有CREATOR OWNER管理权限（包括“Validated write to DNShost name”权限）。因而该权限较为容易取得。

在活动目录内部部署有企业证书服务，并允许上述被节制的计算机账户申请计算机身份验证证书。企业证书服务是活动目录中广泛部署的一种相关基础服务，并且默许情况下，与活动目录集成的企业证书服务默许即允许域内计算机申请计算机身份验证证书。

复现参考：

https://forum.butian.net/share/1578

https://forum.butian.net/share/1583

Exchange相关，可节制Exchange服务器

Exchange在域内有侧重要的地位，一般来讲，拿到Exchange服务器的权限，基本等同于拿到域管的权限。拿到Exchange服务器，有很大几率就是域管直接登录的。或者域管曾经经登录过。拿到Exchange服务器权限的时候，可以尝试直接dir下域控的C盘，看有无权限。如果没有权限，再尝试使用mimikatz抓一波密码，很大几率可以直接抓到域管或者高权限用户。而且就算是高版本的server，在Exchange上也能抓到明文密码。

CVE-2018-8581 （拿域控）

漏洞描写：

该漏洞应用了 Exchange 服务器的 SSRF 以及高权限的要求，致使具有合法邮箱凭证的用户可以被晋升至域管权限

影响规模：

Exchange Server 2010 Exchange Server 2013 Exchange Server 2016

应用前提：

Exchange 默许配置下，袭击者具有合法的邮箱用户凭证，同时，该漏洞应用是通过 NTLM Relay的方式进行提权，因而袭击者需要已经在内网环境中获得可用主机。

漏洞简介：

该漏洞的产生源于几个方面：

首先，Exchange 允许任意用户（只要是通过了认证的）通过 EWS 接口来创立一个推送定阅（Push Subscription），并可以指定任意 URL 作为通知推送的目的地；

其次，通知被定阅推送后，当触发推送时，Exchange 使用了 CredentialCache 类的 DefaultCredentials 属性，因为 EWS 以 SYSTEM 权限运行，当使用 DefaultCredentials 时发出的 HTTP 要求将使用该权限发起 NTLM 认证；

在 EWS 要求中，通过在 Header 中使用 SerializedSecurityContext，指定 SID 可以实现身份假装，从而以指定用户身份进行 EWS 调用操作。

也就是说【咱们可以节制Exchange服务器向咱们发起HTTP 协定的NTLM 要求，这样咱们就能拿到Exchange机器用户的 Net-Ntlm Hash】

因为该漏洞应用触及 NTLM 的重放袭击，一种很容易想到的思路就是将该凭证重放到域控机器。因为重放的 NTLM 凭证来自 Exchange 服务器的机器用户权限，依据Relay To LDAP一节的描写，咱们知道Exchange机器用户拥有write-acl权限，可以给任意用户提权，赋与Dcsync的权限，从而dump出所有密码哈希值。

服务端是不是请求签名：

咱们Relay到的服务端是Ldap,在前面【ldap签名】一节提到，Ldap服务器的默许策略是协商签名。是不是签名是由客户端抉择的。客户端分情况，如果是smb协定的话，默许请求签名的，如果是webadv或者http协定，是不请求签名的

在这个漏洞里面发起的要求是http协定，这也就象征着咱们什么都不用做，在这个漏洞中其实不请求签名。

EXP :

https://github.com/Ridter/Exchange2domain

应用前提：Exchange Server 2010 SP3/2013/2016/2019，普通账号。

袭击脚本：

https://github.com/zcgonvh/CVE-2020-0688https://github.com/random-robbie/cve-2020-0688复现：

https://www.anquanke.com/post/id/226543

CVE-2020-17144 （RCE)

漏洞描写：远程袭击者通过构造特殊的cmdlet参数，绕过身份验证应用改漏洞可造成任意远程命令执行。

应用前提：Exchange2010，普通账号。

袭击脚本1：

https://github.com/Airboi/CVE-2020-17144-EXP袭击脚本2：https://github.com/zcgonvh/CVE-2020-17144CVE-2020-17144 <target> <user> <pass>CVE-2020-16875 （RCE)

漏洞描写：远程袭击者通过构造特殊的cmdlet参数，可造成任意命令执行。

影响版本

Exchange Server 2016 CU17

Exchange Server 2016 CU16（已测）

Exchange Server 2019 CU5

Exchange Server 2019 CU6

应用前提：Exchange Server 2016/2019，普通账号。

袭击脚本：

https://srcincite.io/pocs/cve-2020-16875.py.txt复现：https://cloud.tencent.com/developer/article/1704777CVE-2021-26855/CVE-2021-27065（getshell）（SSRF+任意文件写入）

Exchange ProxyLogon远程代码执行漏洞

漏洞概述：

CVE-2021-26855与CVE-2021-27065是微软在2021年3月2日发布的高危漏洞公告。这套组合拳被称为ProxyLogon，可直接获取目标邮件服务器主机权限。

CVE-2021-26855 SSRF 漏洞 ，该漏洞是Exchange中的服务端要求捏造漏洞（SSRF），应用此漏洞的袭击者能够发送任意HTTP要求并绕过Exchange Server身份验证，远程未授权的袭击者可以应用该漏洞以进行内网探测，并可以用于盗取用户邮箱的全体内容。

CVE-2021-27065 任意文件写入漏洞，该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证，应用此漏洞可以将文件写入服务器上的任何路径。并可以结合应用CVE-2021-26855 SSRF漏洞可绕过权限认证进行文件写入。

影响规模:

Exchange Server 2019 < 15.02.0792.010

Exchange Server 2019 < 15.02.0721.013

Exchange Server 2016 < 15.01.2106.013

Exchange Server 2013 < 15.00.1497.012

应用原理：

通过ssrf漏洞读取到邮箱用户的SID——>通过有效SID结合任意文件写入漏洞上传以.aspx结尾的文件，在其中插入一句话木马——>造成交互式shell。

应用前提：

需要邮箱用户名称

该漏洞不同于以往的 exchange 漏洞，此漏洞其实不需要一个可登录的用户身份，可以在未授权的情况下获取内部用户资源，配合 CVE-2021-27065 可以实现远程命令执行。

漏洞触发必要前提

目标服务器存在漏洞

目标 exchange 服务器必需为负载均衡服务器，即同时使用两台及以上服务器

目标邮箱地址，注意，该地址需要为域内邮件地址而非邮箱地址，两者存在差异

袭击者还必需标识内部Exchange服务器的完整限定域名（FQDN）

以上四项中，FQDN 可以通过 ntlm type2 动静抓取；邮件地址可以直接枚举。

应用CVE-2021-26855 SSRF漏洞枚举邮箱：

(工具：https://github.com/charlottelatest/CVE-2021-26855)

由于咱们通过nmap获取了域名。user.txt里面为咱们加入的邮箱名字典

go run CVE-2021-26855.go -h 192.168.110.152 -U user.txt

应用方式：

https://github.com/hausec/ProxyLogon （一键应用）https://github.com/charlottelatest/CVE-2021-26855 (k)https://github.com/herwonowr/exprolog复现：

https://blog.csdn.net/qq_44159028/article/details/123825115

分析与复现：

https://www.anquanke.com/post/id/259902

CVE-2021-34473 (RCE) （SSRF）

Exchange ProxyShell SSRF

漏洞描写：

袭击者应用该漏洞可绕过相关权限验证，进而配合其他漏洞可执行任意代码，节制Microsoft Exchange Server。

ProxyShell袭击链应用使用了下列漏洞：

CVE-2021-34473 Microsoft Exchange ACL绕过漏洞

CVE-2021-34523 Microsoft Exchange权限晋升漏洞

CVE-2021-31207 Microsoft Exchange授权任意文件写入漏洞

微软官方于 2021年4月已发布相关补钉，2021年7月发布漏洞通告，可前往微软官方下载相应补钉进行更新：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

影响版本

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

应用前提：

仅仅需要邮箱用户名称(用户名便可))

应用办法：

https://github.com/ktecv2000/ProxyShellhttps://github.com/Ridter/proxyshell_payloadhttps://github.com/dmaasland/proxyshell-poc复现：

https://www.cnblogs.com/colin-B/p/15783751.html

https://blog.csdn.net/qq_40989258/article/details/119750829

CVE-2022-41028(RCE)

Microsoft Exchange Server 存在远程代码执行漏洞，经由身份验证的袭击者可应用此漏洞在目标系统上执行任意代码。

以上就是微观生活（93wg.com）关于“近期需要重点关注安全漏洞汇总”的详细内容，希望对大家有所帮助！