[漏洞复现]CVE-2021

CVE-2021-26855 漏洞复现及邮箱详细安装过程 一、介绍

Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。2021年03月3日，微软官方发布了 安全更新，披露了多个高危严重漏洞，其中：在 CVE-2021-26855 SSRF漏洞中，攻击者可直接构造恶意请求，以 server的身份发起任意HTTP请求，扫描内网，并且可获取用户信息。该漏洞利用无需身份认证。

影响版本

Microsoft Exchange 2013
Microsoft Exchange 2016 
Microsoft Exchange 2010
Microsoft Exchange 2019

二、配置域环境

本文选择了windows server 2016作为目标主机，下文是对主机域环境的搭建.

1、选择“添加角色和功能”

2、一直下一步至“服务器角色”，勾选“Active 域服务”和DNS服务器

3、下一步至“确认”，勾选“如果需要，自动重新启动目标服务器”，然后点击“安装”

4、完成安装，后点击“将此服务器提升为域控制器”

5、点击“添加新林”[漏洞复现]CVE-2021，输入跟域名，我这里是“”，点击“下一步”

6、输入密码微软漏洞ms，点击“下一步”

7、下一步至”其他选项“，会自动生成NetBIOS密码商务信息网mobile移动站，然后点击下一步至此页面，根据提示，我们需要设置admin密码

8、Win+R 输入 ”control“

9、根据图片依次点击

(1)

(2)

(3)

(4)

10、再次执行先决条件检查，就ok了，然后安装

三、安装

我们首先需要安装很多配置文件

微软官网

大家可以从上述文章中自行查看需要安装的组件，如下图，内容比较多

大家也可以直接点击我下述的链接直接下载微软漏洞ms，要按照顺序依次安装

1、NET 4.8

2、 Visual C++ Package for Visual Studio 2012

3、输入下面的指令

Install-WindowsFeature RSAT-ADDS

4、中输入下述指令

Install- NET--45-, Server-Media-, RPC-over-HTTP-proxy, RSAT-, RSAT--, RSAT--Mgmt, RSAT--, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-, Web-Dyn-, Web-Http-Errors, Web-Http-Logging, Web-Http-, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows--, RSAT-ADDS

5、2016 年 12 月 13 日 () 安全更新

6、Visual C++ Package for Visual Studio 2012

7、Visual C++ Package for Visual Studio 2013

8、IIS URL 重写模块

9、 Unified Managed API 4.0, Core Runtime 64-bit

10、点开.iso，点击setup进行安装

11、选择”现在不检查更新“

12、一直下一步，勾选”不适用推荐设置“

13、继续勾选如图

14、输入组织名称

15、一直下一步，如果可以点击安装就是成功了，之后会有15个安装步骤，耐心等待即可

16、安装完成了打开浏览器”ip/ecp“

四、漏洞利用

大家从github上找一款自己喜欢的exp即可，记得关闭虚拟机的防火墙

【本文来源于互联网转载，如侵犯您的权益或不适传播，请邮件通知我们删除】