主题 作者
- 09
- 14
- 3
- 文章类型
- 完全原创 —— 自由转载
DH Hub 工作台在 2023-09-23 18:15:33
被请求
CVE-2021-34473 是 Microsoft Exchange Server 代码执行漏洞,于 2021 年披露。
同时期,有多个高危漏洞被披露,它们可以组合进行攻击。
利用 CVE-2021-34473 漏洞绕过 Exchange Server 的 ACL 认证
利用 CVE-2021-34523 漏洞提升 Exchange PowerShell 后端权限
利用 CVE-2021-31207 漏洞触发任意文件写入漏洞,从而实现远程代码执行。
具体利用过程较为繁琐
Link
附 Apache 日志,容易从请求参数上看出意图
被请求
/autodiscover/autodiscover.json,攻击来源为美国 IPV4:185.180.143.48 等CVE-2021-34473 是 Microsoft Exchange Server 代码执行漏洞,于 2021 年披露。
同时期,有多个高危漏洞被披露,它们可以组合进行攻击。
利用 CVE-2021-34473 漏洞绕过 Exchange Server 的 ACL 认证
利用 CVE-2021-34523 漏洞提升 Exchange PowerShell 后端权限
利用 CVE-2021-31207 漏洞触发任意文件写入漏洞,从而实现远程代码执行。
具体利用过程较为繁琐
Link
附 Apache 日志,容易从请求参数上看出意图
[22/Sep/2023:05:08:47 +0800] 167.99.13.19 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET /autodiscover/autodiscover%20/ HTTP/1.1" -[23/Sep/2023:05:23:52 +0800] 104.131.144.39 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET /autodiscover/autodiscover.json?@zdi/Powershell HTTP/1.1" -[23/Sep/2023:18:15:32 +0800] 185.180.143.48 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET /autodiscover/autodiscover.json?a..foo.var/owa/?&Email=autodiscover/autodiscover.json?a..foo.var&Protocol=XYZ&FooProtocol=%50owershell HTTP/1.1" -[23/Sep/2023:18:15:34 +0800] 43.132.74.43 TLSv1.3 TLS_CHACHA20_POLY1305_SHA256 "GET /autodiscover/autodiscover.json?a..foo.var/owa/?&Email=autodiscover/autodiscover.json?a..foo.var&Protocol=XYZ&FooProtocol=%50owershell HTTP/1.1" 10602