【内网安全】横向移动Exchange服务有账户CVE漏洞无账户口令爆破

文章目录

  • 章内容
    • 什么是Exchange Server
  • 域横向移动-内网服务-Exchange探针
    • 1、端口扫描
    • 2、SPN扫描
    • 3、脚本探针(还可以探针是否有安全漏洞)
  • 域横向移动-内网服务-Exchange爆破
    • 手工与项目
    • 收集域内相关信息
    • Intruder进行Exchange服务爆破
  • 域横向移动-内网服务-Exchange漏洞
    • 攻击流程-图解
    • # CVE-2020-17144 Exchange RCE
    • CVE-2020-0688(反序列化漏洞)
    • 参考

章内容

IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Kerberos_TGS,GPO&DACL,域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。

什么是Exchange Server

Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。 简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。
实验靶场环境:0day.org单域环境
在这里插入图片描述
Win7 x64 0day.org PC-Jack 访问域主机地址
在这里插入图片描述
这里上线PC-Jack主机(添加一张虚拟网卡连接公网),MS14-058(CVE-2014-4113)提权一下,进行下一步信息收集

域横向移动-内网服务-Exchange探针

1、端口扫描

exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务,所以可以通过一些端口特征来定位exchange。
在这里插入图片描述

2、SPN扫描

powershell setspn -T 0day.org -q /
在这里插入图片描述

3、脚本探针(还可以探针是否有安全漏洞)

python Exchange_GetVersion_MatchVul.py xx.xx.xx.xx
在这里插入图片描述

域横向移动-内网服务-Exchange爆破

手工与项目

1、Burp+Proxifier
2、项目
https://github.com/grayddq/EBurst
https://github.com/lazaars/MailSniper
这里我使用Burp、内置浏览器和Proxifier进行爆破

收集域内相关信息

域成员收集-用于用户名爆破
在这里插入图片描述
JACK-PC 已知明文收集
在这里插入图片描述

Intruder进行Exchange服务爆破

使用已知账号 0day\jack admin!@#45抓登陆包(建议使用firefox 或Burp内置浏览器)
设置变量位置 用于爆破用户名
在这里插入图片描述
返回响应长度不同 并且返回内容设置了cookie ,爆破成功这些exchange用户名密码都为admin!@#45在这里插入图片描述
成功登陆
在这里插入图片描述

当然这只是关于Exchange邮箱的利用,接下来可以进行邮件钓鱼之类的攻击,但是并不能直接进行横向移动

域横向移动-内网服务-Exchange漏洞

攻击流程-图解

在这里插入图片描述
确定内核版本-筛选Server版本-确定漏洞对应关系-选择漏洞进行漏洞
在这里插入图片描述
微软官方找符合利用条件的漏洞
https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
在这里插入图片描述
确定是exchange server2010版本,筛选可用漏洞
在这里插入图片描述

# CVE-2020-17144 Exchange RCE

前提:普通用户
影响版本:Microsoft Exchange Server 2010

CVE-2020-17144-EXP.exe mail.example.com user pass

示例:

CVE-2020-17144.exe 192.168.3.142 jack admin!@#45

项目可以通过github下载,自己编译的时候自定义后门内容,上传后门成功后连接后门直接横向移动到Exchange服务器上,也就是域控服务器
在这里插入图片描述
无权访问?(使用了代理转发,可能域控在某方面有限制)
在这里插入图片描述
在jack-pc上可以进行访问连接
在这里插入图片描述

CVE-2020-0688(反序列化漏洞)

可以利用该漏洞进行命令执行,文件下载进行上线
……

参考

https://www.cnblogs.com/xiaozi/p/14481595.html

查看全文

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dgrt.cn/a/2112385.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章:

在这里插入图片描述

【内网安全】横向移动Exchange服务有账户CVE漏洞无账户口令爆破

文章目录章内容什么是Exchange Server域横向移动-内网服务-Exchange探针1、端口扫描2、SPN扫描3、脚本探针(还可以探针是否有安全漏洞)域横向移动-内网服务-Exchange爆破手工与项目收集域内相关信息Intruder进行Exchange服务爆破域横向移动-内网服务-Exchange漏洞攻击流程-图解……

20分钟快速入门Gradle

文章目录一、初识Gradle1.1 什么是Gradle1.2 Gradle和Maven的异同二、Gradle常用命令三、Wrapper 包装器3.1 什么是Wrapper 包装器3.2 Wrapper 包装器怎么使用一、初识Gradle
1.1 什么是Gradle
Gradle是一种自动化构建工具,用于编译、测试、打包和部署应用程序。它……

maven的安装配置 (自学记录)

操作系统:windows10
jdk版本:1.8
maven版本:3.5.0
1.maven 的安装与配置
1.安装jdk1.8(我一直用的是1.8 所以不用再安装了)
2.下载Apache maven (maven 官网) 3.将maven3.5.0 解压出来 并且复制路径(例如: D:\biancheng\apache-maven-3.5.0\bin )
4.在环境变量中添加M……

servlet 生命周期(面试知识储备)

servlet生命周期:指的是servlet从创建到销毁的整个过程.
servlet通过init()方法进行初始化.
servlet通过service()方法来处理客户端的请求.
servlet通过调用destroy()方法终止(结束).
servlet生命周期方法详细介绍:
init()方法:
init()方法是初始化方法,servlet在调用的时……

java MVC(面试知识储备)

MVC的概念: mvc模式并不是javaweb项目中独有的,他是软件工程中的一种软件架构模式, 把软件分为三个基本部分:模型(model) 视图(view) 控制器(controller), MVC. 它是一种软件设计典范,最早Trygve Reenskaug提出,为施乐帕罗奥多研究中心(Xerox PARC&amp……

java三大集合框架(面试知识储备精华篇)

java三大集合框架 : set list map 如上图 set list 都属于collection的子接口(collection为顶层接口) Map 不属于collection接口
Set接口:
无序可变的数组,不允许添加重复元素,如果视图把两个相同的元素加入到同一个集合中,add方法返回false.
set判断对象是否相同使用……

px换算成rem—-非常简洁实用,另外附上详细代码解释。

源码(公司老哥写的。):
最终可实现:例如宽 20px 的图,就可以写成 0.2rem ; 公式为20px/1000.2rem;
var rootResizefunction(){var baseFontSize 100;var baseWidth 640;var minWidth320;var……

自我介绍 DOM BOM ECMAScript

他们都是什么? DOM:
文档对象模型(Document Object Model) 缩写为 DOM ,
DOM是W3C(万维网联盟)标准。
DOM定义了访问文档的标准:
“W3C文档对象模型(DOM)是一个平台和语言中立的接口,允许程……

《 vue 》图片批量预加载

/*
* 单独创建个js 并引用自动加载 资源预加载 20200329
*/
(function(){let images [require(../assets/img/again.png),require(../assets/img/answerBg.png),require(../assets/img/answerFloor.png),require(../assets/img/cheer.png),require(../assets/img/circular.……

egret MP3加载失败 egret 加载音频报错 白鹭引擎无法加载音频

egret MP3加载失败 egret 加载音频报错 白鹭引擎无法加载音频
目的:记录白鹭引擎的 MP3加载失败规律:所有MP3文件都无法正常加载。 chorme(不正常)| 火狐(正常)| 微信(正常)。
报错……

cocos-lua游戏中横屏,竖屏动态切换

1、转载自 https://blog.csdn.net/oJianYue12/article/details/80927700
2、注意点: AndroidManifest.xml文件中的配置 android:configChanges"orientation|screenSize";android:screenOrientation"sensorLandscape"
这两个配置需要根据自……

lua require机制

https://www.cnblogs.com/softidea/p/5242941.html…

lua程序设计(一)

一、lua的概述 1.简单易学 2.比较灵活,数据结构只有表一种
二、 1、变量命名规范:建议遵循驼峰规则;区分大小写(注意变量命名);避免下划线开头并紧接着一个大写字母(可能与lua中对 应的全局变量……

cocos2d-3.10 整合版本连接

官方给出的是在:http://www.cocos2d-x.org/filedown/CocosForWin-v3.10.exe 如果下载不了,可以在这里下http://cdn.cocos2d-x.org/CocosForWin-v3.10.exe…

code=45, title=禁止登录, message=登录失败,建议升级最新版本后重试,或通过问题反馈与我们联系。

如果你是采用 java 开发的,你可以参考本文章,java 和 kotlin 都是可以相互转换的。 在解决之前,先说明环境: JDK版本:java version "17.0.3.1" 【Oracle JDK】 Kotlin版本:1.8.20 采取simbot核心包开发&am……

cocos2d屏幕适配方案以及winsize,framesize,VisibleSize,contentSize的区别和联系

一、首先要吐槽小cocos官方把这个问题描述的很模糊,讲解的不清不楚,很多人工作两三年的人也不明白。
二、言归正传:阐述下winsize,framesize,VisibleSize,contentSize的概念。frameSize表示的是屏幕的分辨率, 这里多说……

lua协程详解

https://www.cnblogs.com/zrtqsk/p/4374360.html…

lua协程实例

一、lua协程的和c中协程的区分 1. lua 程序设计中的关于lua多线程以及协程的概述 上述说的意思我认为就是 lua的协程类似于但是不等同于真正意义的多线程(同时执行一些操作);我做过测试,同时创建1000个协程并执行(代码……

cocos内存管理原理详解

转载自:COCOS学习笔记–Cocod2dx内存管理(三)-Coco2d-x内存运行原理_RapdoZoroの博客-CSDN博客_cocos2dx引擎内存管理工具
一、cocos2dx之如何优化内存使用(高级篇)_yixiao3660的专栏-CSDN博客
cocos2d中对于图片动画加载缓存的使用 – 简书……

cocos creator实战项目记录(一)

creator(一下简称ccc)貌似从16年发布到现在已经有五年了,当时我还是游戏开发菜鸟,不过当时我已经在从事cocos-js的工作,所以对ccc的发布还是比较关注。不过后来,阴差阳错的一直没有干ccc相关的项目&#xf……

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注