[漏洞复现]CVE-2021
CVE-2021-26855 漏洞复现及邮箱详细安装过程 一、介绍
Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了 安全更新,披露了多个高危严重漏洞,其中:在 CVE-2021-26855 SSRF漏洞中,攻击者可直接构造恶意请求,以 server的身份发起任意HTTP请求,扫描内网,并且可获取用户信息。该漏洞利用无需身份认证。
影响版本
Microsoft Exchange 2013
Microsoft Exchange 2016
Microsoft Exchange 2010
Microsoft Exchange 2019
二、配置域环境
本文选择了windows server 2016作为目标主机,下文是对主机域环境的搭建.
1、选择“添加角色和功能”
2、一直下一步至“服务器角色”,勾选“Active 域服务”和DNS服务器
3、下一步至“确认”,勾选“如果需要,自动重新启动目标服务器”,然后点击“安装”
4、完成安装,后点击“将此服务器提升为域控制器”
5、点击“添加新林”[漏洞复现]CVE-2021,输入跟域名,我这里是“”,点击“下一步”
6、输入密码微软漏洞ms,点击“下一步”
7、下一步至”其他选项“,会自动生成NetBIOS密码商务信息网mobile移动站,然后点击下一步至此页面,根据提示,我们需要设置admin密码
8、Win+R 输入 ”control“
9、根据图片依次点击
(1)
(2)
(3)
(4)
10、再次执行先决条件检查,就ok了,然后安装
三、安装
我们首先需要安装很多配置文件
微软官网
大家可以从上述文章中自行查看需要安装的组件,如下图,内容比较多
大家也可以直接点击我下述的链接直接下载微软漏洞ms,要按照顺序依次安装
1、NET 4.8
2、 Visual C++ Package for Visual Studio 2012
3、输入下面的指令
Install-WindowsFeature RSAT-ADDS
4、中输入下述指令
Install- NET--45-, Server-Media-, RPC-over-HTTP-proxy, RSAT-, RSAT--, RSAT--Mgmt, RSAT--, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-, Web-Dyn-, Web-Http-Errors, Web-Http-Logging, Web-Http-, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows--, RSAT-ADDS
5、2016 年 12 月 13 日 () 安全更新
6、Visual C++ Package for Visual Studio 2012
7、Visual C++ Package for Visual Studio 2013
8、IIS URL 重写模块
9、 Unified Managed API 4.0, Core Runtime 64-bit
10、点开.iso,点击setup进行安装
11、选择”现在不检查更新“
12、一直下一步,勾选”不适用推荐设置“
13、继续勾选如图
14、输入组织名称
15、一直下一步,如果可以点击安装就是成功了,之后会有15个安装步骤,耐心等待即可
16、安装完成了打开浏览器”ip/ecp“
四、漏洞利用
大家从github上找一款自己喜欢的exp即可,记得关闭虚拟机的防火墙
【本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】