当期SINE
网站安全课堂教学,websafe试验室的于教师将为大伙儿详细介绍Exchange有关知识要点,热烈欢迎很感兴趣的朋友一起学习交流。
一、Exchange简述
Exchange是微软公司荣誉出品的邮件服务器系统软件,凭着其强劲的作用优点被运用到许多 公司、院校的电子邮件系统构建中。
目前为止,Exchange现有好几个完善版本号,比如:ExchangeServer2010、2013、2016及最新版2019。除此之外,Exchange又可分成ExchangeServer和ExchangeOnline,为了更好地,文中将关键以当地ExchangeServer2010为例开展
渗透测试演试。
二、构成
最先,让我们一起掌握下Exchange的构造构成。现阶段最新版Exchange关键包括2个人物角色,各自是邮箱服务器人物角色和边沿传送网络服务器人物角色。
2.1邮箱服务器人物角色
1.包括用以路由器电子邮件的传输服务;
2.包括解决、展现和储存数据信息的电子邮箱数据库查询;
3.包括接纳全部协议书手机客户端联接的手机客户端浏览服务项目;
http
RPCoverHTTP
MAPIoverHTTP
pop3
imap4
um通话
4.包括向电子邮箱出示视频语音电子邮件和别的电話服务项目作用的统一信息(UM)服务项目。
2.2边沿传送网络服务器人物角色
1.解决Exchange机构的全部外界电子邮件流;
2.一般 安裝在外场互联网中,可定阅內部Exchange机构。当Exchange机构接受和邮件发送时,EdgeSync同歩系统进程会向边沿传送网络服务器出示收货人信息内容和别的配备信息内容。
在其中,渗透测试工作人员更为关注Exchange对外开放出示的浏览插口,及其应用的数据加密认证种类。
三、电子邮件浏览方式
根据上边的详细介绍,我们能够掌握ExchangeServer适用的协议书。接下去,我们学习培训怎样根据相匹配手机客户端浏览这种协议书。
3.1有关插口
1.outlook手机客户端(MAPI协议书)
2.outlookwebapp(以web方式浏览https://网站域名或ip/owa)
3.POP3和IMAP4(能够根据POP3协议书运用别的手机客户端)
下列为现阶段默认设置的一部分前端开发虚拟目录,可用以分辨Exchange服务项目、登陆密码枚举、或管理权限保持。
1.API(2016之后版本号合理)
2.ecpExchange(管理处web方式浏览https://网站域名或ip/ecp)
3.EWS(ExchangeWebServices)
4.Autodiscover
5.MAPI
6.Microsoft-Server-ActiveSync
7.OAB(web方式浏览https://网站域名或ip/oab)
8.owa
9.PowerShell
10.Rpc
在无随意内部网管理权限、客户账户管理权限时,可试着对己知账户开展登陆密码枚举。
登陆密码枚举能够运用的插口:
1.Autodiscover(401验证NTLMAuthenticate)
2.OWA(post表格)
3.EWS(401验证NTLMAuthenticate)
4.Microsoft-Server-ActiveSync(401验证+base64)
融合一部分社会工作者方式可获得己知账户,如检索intext:*@xxxx.com。
在其中较为功能强大的一款Exchange登陆密码枚举专用工具
安裝
以ruler登陆密码枚举控制模块为例开展演试。ruler是对于Exchange的全自动运用专用工具,其Brute作用利用率较高,关键根据Autodiscover插口开展登陆密码枚举。
提前准备登录名、密码字典:user.txt、pass.txt。
左右为理想化情况的检测状况,具体情况下必须充足多的帐号密码,防止因过多试着而冻洁,还可根据操纵-delay主要参数,或burp开展登陆密码枚举。
五、电子邮箱社会工作者检测
5.1根据垂钓获得帐号密码
以便提高职工防范意识,在渗透测试时,通常还会被规定做电子邮件垂钓检测。垂钓电子邮件內容不分,能够临场发挥,如拷贝owa页面制做垂钓网页页面等。
试着仿冒发件人,推送垂钓电子邮件。
在被检测的客户点一下连接时提醒应用程序请求超时,需再次登陆。
制做同样登通道,后端开发储存客户登陆信息内容。
对于这类垂钓主题活动,许多 阶段都能够开展提升,如页面、提醒、电子邮件语调等,这种全是决策检测通过率的关键要素。
5.2全新升级垂钓检测
5.1方法将会对慎重客户失效,我们能够融合内部网管理权限开展垂钓检测。
这儿我们应用到一款专用工具:
该专用工具可保持无线中继ntlm协议书,容许客户进行根据http的ntlm插口验证,并运用ews插口读取数据。其关键作用来源于impacket架构。
大伙儿有兴趣爱好的能够自主科学研究。
最先我们试着浏览ews插口,提示信息401NTLMAuthenticate认证,我们如今要做的就是说运用早已登陆系统软件的普通用户管理权限立即根据这一认证。
结构电子邮件,引入已被操纵的内部网设备文档,或网页链接。
电子邮件初始內容
在获得内部网的设备上运作我们的ExchangeRelayX,等候总体目标客户查询电子邮件,下列引入照片会在Exchange上造成提醒。
而且应用chrome电脑浏览器时,载入该方式的資源会被阻拦。
应用IE电脑浏览器,检测取得成功。
当该照片载入,或是客户点一下我们的网页链接后,我们就能获得net-ntlm并避过401验证。
ExchangeRelayXweb控制面板
验证通过后立即启用ews插口,因为试验自然环境Exchange版本号难题,运用ExchangeRelayX封裝好的恳求会再加sp2造成出错,因而这儿以推送初始xml的方式开展演试:
获得收件箱soap恳求
电子邮箱渗透测试取得成功,我们获得到电子邮件內容信息内容。
文中仅出示避过认证的构思,对ews插口很感兴趣的盆友能够到微软官方开展学习培训。
5.3爬取ad密文或hash登陆
这类方法比较普遍,在已获得域操纵管理权限的状况下,可立即根据mimikatz爬取必须登陆Exchange的密文,登陆owa保持电子邮件载入等实际操作。
mimikatz.exeprivilege::debugsekurlsa::logonPasswordsfull
2个系统漏洞的差别
2018-8581是运用exchange系统漏洞造成http->ldap转站保持的提权,2019-1040是造成的smb->ldap转站,而且避过mic查验。