滲透基礎—Exchange版本探測和漏洞檢測
0x00 前言
Exchange的版本眾多,歷史漏洞數量也很多,因此需要通過程序實現版本探測和漏洞檢測。本文將要介紹通過Python進行版本探測的兩種方法,介紹漏洞檢測的實現細節,開源代碼。
0x01 簡介
本文將要介紹以下內容:
- 實現思路
- 實現細節
- 開源代碼
0x02 實現思路
1.版本識別
(1)獲得精確版本(Build number)
訪問EWS接口,在Response Headers中的X-OWA-Version可以獲得精確版本,如下圖:
優點:精確版本(Build number)能夠對應到具體的發布日期。
缺點:方法不通用,部分舊的Exchange版本不支持。
(2)獲得粗略版本
訪問OWA接口,在回顯內容可以獲得粗略版本,如下圖:
優點:方法通用。
缺點:粗略版本無法對應到準確的發布日期,只能對應到一個區間。
綜上,在版本識別上,首先嘗試獲得精確版本,如果無法獲得,再嘗試獲得粗略版本。
獲得版本號后,可以去官網查詢對應的Exchange版本和發布日期,查詢地址:https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019。
2.漏洞檢測
Exchange的漏洞詳情可通過訪問https://msrc.microsoft.com/update-guide/vulnerability/< CVE >查看,例如:
CVE-2020-0688對應的URL:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-0688。
在漏洞檢測上,可以將補丁時間作為判定依據,如果識別到的Exchange版本發布日期低于某個補丁日期,那么判定該Exchange存在該補丁中描述的漏洞。
0x03 實現細節
1.版本識別
訪問EWS接口獲得版本的實現代碼:
url1 = "https://" + host + "/ews"
req = requests.get(url1, headers = headers, verify=False)
if "X-OWA-Version" in req.headers:
version = req.headers["X-OWA-Version"]
print(version)
訪問OWA接口獲得版本的實現代碼:
url2 = "https://" + host + "/owa"
req = requests.get(url2, headers = headers, verify=False)
pattern_version = re.compile(r"/owa/auth/(.*?)/themes/resources/favicon.ico")
version = pattern_version.findall(req.text)[0]
print(version)
獲得版本號后,需要同已知的版本信息作匹配。為了提高效率,可以選擇將已知的版本信息存儲在列表中,元素包括Exchange版本,發布時間和版本號(Build number)。
首先從官網復制已知的版本信息,再通過字符串替換的方式將版本信息存儲在列表中。
在版本匹配時,需要區別精確版本和粗略版本,精確版本可以對應唯一的結果,而粗略版本需要篩選出所有可能的結果。
Build number格式示例:15.1.2375.24
粗略版本格式示例:15.1.2375
粗略版本的篩選方法:
對Build number字符串進行截取,去除最后一個字符”.”后面的數據,同粗略版本進行數據對比,輸出所有結果:
代碼示例:
versionarray = [
["Exchange Server 2019 CU11 Mar22SU", "March 8, 2022", "15.2.986.22"],
["Exchange Server 2019 CU11 Jan22SU", "January 11, 2022", "15.2.986.15"],
["Exchange Server 2019 CU11 Nov21SU", "November 9, 2021", "15.2.986.14"],
["Exchange Server 2019 CU11 Oct21SU", "October 12, 2021", "15.2.986.9"],
["Exchange Server 2019 CU11", "September 28, 2021", "15.2.986.5"],
["Exchange Server 2019 CU10 Mar22SU", ""March 8, 2022", "15.2.922.27"]
]
version="15.2.986"
for value in versionarray:
if version in value[2][:value[2].rfind(".")]:
print("[+] Version: " + value[2])
print(" Product: " + value[0])
print(" Date: " + value[1])
2.漏洞檢測
將補丁時間作為判定依據,同樣為了提高效率,將已知的漏洞信息存儲的列表中,元素包括發布時間和漏洞編號。
為了便于比較時間,需要改變時間格式,例如將September 28, 2021修改成09/28/2021。
代碼示例:
vularray = [
["CVE-2020-0688", "02/11/2020"],
["CVE-2021-26855+CVE-2021-27065", "03/02/2021"],
["CVE-2021-28482", "04/13/2021"]
]
date="03/01/2021"
for value in vularray:
if (date.split('/')[2] <= value[1].split('/')[2]) & (date.split('/')[1] <= value[1].split('/')[1]) & (date.split('/')[0] < value[1].split('/')[0]):
print("[+] " + value[0] + ", " + value[1])
0x04 開源代碼
由于代碼內容較長,完整的實現代碼已上傳至github,地址如下:
https://github.com/3gstudent/Homework-of-Python/blob/master/Exchange_GetVersion_MatchVul.py
版本數據庫的日期為03/21/2022。
漏洞信息包括以下編號:
- CVE-2020-0688
- CVE-2021-26855+CVE-2021-27065
- CVE-2021-28482
- CVE-2021-34473+CVE-2021-34523+CVE-2021-31207
- CVE-2021-31195+CVE-2021-31196
- CVE-2021-31206
- CVE-2021-42321
代碼能夠自動識別出精確版本,如果無法識別,改為識別粗略版本,標記出所有匹配的漏洞。
0x05 小結
本文介紹了通過Python進行Exchange版本探測的兩種方法,介紹實現細節,開源代碼,作為一個很好的學習示例。
