当前位置: 首页 > news >正文

【内网安全】横向移动Exchange服务有账户CVE漏洞无账户口令爆破

文章目录

  • 章内容
    • 什么是Exchange Server
  • 域横向移动-内网服务-Exchange探针
    • 1、端口扫描
    • 2、SPN扫描
    • 3、脚本探针(还可以探针是否有安全漏洞)
  • 域横向移动-内网服务-Exchange爆破
    • 手工与项目
    • 收集域内相关信息
    • Intruder进行Exchange服务爆破
  • 域横向移动-内网服务-Exchange漏洞
    • 攻击流程-图解
    • # CVE-2020-17144 Exchange RCE
    • CVE-2020-0688(反序列化漏洞)
    • 参考

章内容

IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Kerberos_TGS,GPO&DACL,域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。

什么是Exchange Server

Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。 简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。
实验靶场环境:0day.org单域环境
在这里插入图片描述
Win7 x64 0day.org PC-Jack 访问域主机地址
在这里插入图片描述
这里上线PC-Jack主机(添加一张虚拟网卡连接公网),MS14-058(CVE-2014-4113)提权一下,进行下一步信息收集

域横向移动-内网服务-Exchange探针

1、端口扫描

exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务,所以可以通过一些端口特征来定位exchange。
在这里插入图片描述

2、SPN扫描

powershell setspn -T 0day.org -q /
在这里插入图片描述

3、脚本探针(还可以探针是否有安全漏洞)

python Exchange_GetVersion_MatchVul.py xx.xx.xx.xx
在这里插入图片描述

域横向移动-内网服务-Exchange爆破

手工与项目

1、Burp+Proxifier
2、项目
https://github.com/grayddq/EBurst
https://github.com/lazaars/MailSniper
这里我使用Burp、内置浏览器和Proxifier进行爆破

收集域内相关信息

域成员收集-用于用户名爆破
在这里插入图片描述
JACK-PC 已知明文收集
在这里插入图片描述

Intruder进行Exchange服务爆破

使用已知账号 0day\jack admin!@#45抓登陆包(建议使用firefox 或Burp内置浏览器)
设置变量位置 用于爆破用户名
在这里插入图片描述
返回响应长度不同 并且返回内容设置了cookie ,爆破成功这些exchange用户名密码都为admin!@#45在这里插入图片描述
成功登陆
在这里插入图片描述

当然这只是关于Exchange邮箱的利用,接下来可以进行邮件钓鱼之类的攻击,但是并不能直接进行横向移动

域横向移动-内网服务-Exchange漏洞

攻击流程-图解

在这里插入图片描述
确定内核版本-筛选Server版本-确定漏洞对应关系-选择漏洞进行漏洞
在这里插入图片描述
微软官方找符合利用条件的漏洞
https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
在这里插入图片描述
确定是exchange server2010版本,筛选可用漏洞
在这里插入图片描述

# CVE-2020-17144 Exchange RCE

前提:普通用户
影响版本:Microsoft Exchange Server 2010

CVE-2020-17144-EXP.exe mail.example.com user pass

示例:

CVE-2020-17144.exe 192.168.3.142 jack admin!@#45

项目可以通过github下载,自己编译的时候自定义后门内容,上传后门成功后连接后门直接横向移动到Exchange服务器上,也就是域控服务器
在这里插入图片描述
无权访问?(使用了代理转发,可能域控在某方面有限制)
在这里插入图片描述
在jack-pc上可以进行访问连接
在这里插入图片描述

CVE-2020-0688(反序列化漏洞)

可以利用该漏洞进行命令执行,文件下载进行上线
……

参考

https://www.cnblogs.com/xiaozi/p/14481595.html

相关文章:

  • 10、Django开发总结:Django缓存Cache应用场景、设置以及高级使用技巧
  • 【黑客技术】LOIC —— 低轨道离子炮工具使用
  • 华为OD机试用java实现 -【吃火锅】
  • C语言 —— 数组
  • 35岁大龄程序员职业转型规划
  • IntelliJ IDEA 2023.1 最新变化
  • Qt音视频开发22-音频播放QAudioOutput
  • 递归--【天梯L2】愿天下有情人都是失散多年的兄妹
  • 第七章 react组件实例中三大属性之props
  • 面试官:Tomcat 在 SpringBoot 中是如何启动的(一)
  • 【人工智能与深度学习】判别性循环稀疏自编码器和群体稀疏性
  • 【计算机视觉 | 目标检测】BARON:pseudo words 和 linear layer 的理解
  • 【Git从入门到精通】分支机制
  • 【jvm系列-04】精通运行时数据区共享区域---堆
  • 【机器学习】P10 从头到尾实现一个线性回归案例
  • 【跃迁之路】【699天】程序员高效学习方法论探索系列(实验阶段456-2019.1.19)...
  • 【跃迁之路】【735天】程序员高效学习方法论探索系列(实验阶段492-2019.2.25)...
  • create-react-app做的留言板
  • echarts的各种常用效果展示
  • git 常用命令
  • HTML-表单
  • iOS小技巧之UIImagePickerController实现头像选择
  • Js基础知识(四) - js运行原理与机制
  • Python学习之路13-记分
  • react-core-image-upload 一款轻量级图片上传裁剪插件
  • Spring Boot快速入门(一):Hello Spring Boot
  • vue 配置sass、scss全局变量
  • webpack项目中使用grunt监听文件变动自动打包编译
  • WinRAR存在严重的安全漏洞影响5亿用户
  • 闭包,sync使用细节
  • 函数式编程与面向对象编程[4]:Scala的类型关联Type Alias
  • 吴恩达Deep Learning课程练习题参考答案——R语言版
  • 要让cordova项目适配iphoneX + ios11.4,总共要几步?三步
  • raise 与 raise ... from 的区别
  • 回归生活:清理微信公众号
  • !!java web学习笔记(一到五)
  • (2)Java 简介
  • (42)STM32——LCD显示屏实验笔记
  • (办公)springboot配置aop处理请求.
  • (第一天)包装对象、作用域、创建对象
  • (多级缓存)多级缓存
  • (附源码)spring boot校园拼车微信小程序 毕业设计 091617
  • (附源码)springboot家庭装修管理系统 毕业设计 613205
  • (附源码)ssm高校志愿者服务系统 毕业设计 011648
  • (三) prometheus + grafana + alertmanager 配置Redis监控
  • (三)docker:Dockerfile构建容器运行jar包
  • (四)c52学习之旅-流水LED灯
  • (续)使用Django搭建一个完整的项目(Centos7+Nginx)
  • (转)mysql使用Navicat 导出和导入数据库
  • * 论文笔记 【Wide Deep Learning for Recommender Systems】
  • ... fatal error LINK1120:1个无法解析的外部命令 的解决办法
  • .NET DevOps 接入指南 | 1. GitLab 安装
  • .NET I/O 学习笔记:对文件和目录进行解压缩操作
  • .NET开发不可不知、不可不用的辅助类(一)
  • .php结尾的域名,【php】php正则截取url中域名后的内容