ProxyShell漏洞利用分析2——CVE-2021-34523

前言

本文将要介绍ProxyShell中第二个漏洞的细节，分析利用思路。

简介

本文将要介绍以下内容：

• CommonAccessToken
• Exchange PowerShell Remoting

CommonAccessToken

CommonAccessToken 是一个 .NET 类型，它表示对 Exchange Server 中资源的访问权限。它包含有关资源的信息，例如它的路径和类型，以及有关允许访问资源的用户或组的信息。

CommonAccessToken 类具有几个属性，包括：

• Identity：表示资源的标识。
• Type：表示资源的类型。
• Permissions：表示用户或组对资源的访问权限。

CommonAccessToken 类还具有几个方法，包括：

• GetEffectivePermissions()：获取用户或组对资源的有效权限。
• IsValid()：检查 CommonAccessToken 是否有效。

Exchange PowerShell Remoting

Exchange PowerShell Remoting 是一个功能，它允许您使用 PowerShell cmdlet 来管理 Exchange Server。您可以使用 Exchange PowerShell Remoting 来执行各种任务，例如创建和管理邮箱、设置邮件流规则，以及管理安全设置。

要使用 Exchange PowerShell Remoting，您需要安装 Exchange Management Shell。Exchange Management Shell 是一个命令行工具，它允许您管理 Exchange Server。

漏洞分析

CVE-2021-34523 漏洞是一个远程代码执行漏洞，它允许攻击者在目标 Exchange Server 上执行任意代码。该漏洞位于 Exchange PowerShell Remoting 中。

攻击者可以利用该漏洞来执行以下操作：

• 在目标 Exchange Server 上安装恶意软件。
• 窃取目标 Exchange Server 上的数据。
• 破坏目标 Exchange Server 的运行。

利用思路

攻击者可以利用该漏洞来执行以下步骤：

1. 向目标 Exchange Server 发送一个精心构造的请求。
2. 该请求将触发漏洞，导致目标 Exchange Server 执行任意代码。
3. 攻击者可以使用执行的任意代码来安装恶意软件、窃取数据或破坏目标 Exchange Server 的运行。

缓解措施

您可以采取以下措施来缓解该漏洞：

• 将 Exchange Server 更新到最新版本。
• 启用 Exchange Server 上的防火墙。
• 限制对 Exchange Server 的访问。
• 对 Exchange Server 进行定期安全扫描。

结论

CVE-2021-34523 漏洞是一个严重的远程代码执行漏洞，它允许攻击者在目标 Exchange Server 上执行任意代码。您可以采取上述措施来缓解该漏洞。