宝塔服务器面板，一键全能部署及管理，送你10850元礼包，点我领取

文章目录

• 章内容
• • 什么是Exchange Server
• 域横向移动-内网服务-Exchange探针
• • 1、端口扫描
  • 2、SPN扫描
  • 3、脚本探针(还可以探针是否有安全漏洞)
• 域横向移动-内网服务-Exchange爆破
• • 手工与项目
  • 收集域内相关信息
  • Intruder进行Exchange服务爆破
• 域横向移动-内网服务-Exchange漏洞
• • 攻击流程-图解
  • # CVE-2020-17144 Exchange RCE
  • CVE-2020-0688(反序列化漏洞)
  • 参考

章内容

IPC，WMI，SMB，PTH，PTK，PTT，SPN，WinRM，WinRS，RDP，Plink，DCOM，SSH；Exchange，LLMNR投毒，Kerberos_TGS，GPO&DACL，域控提权漏洞，约束委派，数据库攻防，系统补丁下发执行，EDR定向下发执行等。

什么是Exchange Server

Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。 简单而言，Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱，但是国内微软并不直接出售Exchange邮箱，而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。
实验靶场环境：0day.org单域环境

Win7 x64 0day.org PC-Jack 访问域主机地址

这里上线PC-Jack主机(添加一张虚拟网卡连接公网)，MS14-058（CVE-2014-4113）提权一下，进行下一步信息收集

域横向移动-内网服务-Exchange探针

1、端口扫描

exchange会对外暴露接口如OWA,ECP等，会暴露在80端口，而且25/587/2525等端口上会有SMTP服务，所以可以通过一些端口特征来定位exchange。

2、SPN扫描

powershell setspn -T 0day.org -q /

3、脚本探针(还可以探针是否有安全漏洞)

python Exchange_GetVersion_MatchVul.py xx.xx.xx.xx

域横向移动-内网服务-Exchange爆破

手工与项目

1、Burp+Proxifier
2、项目
https://github.com/grayddq/EBurst
https://github.com/lazaars/MailSniper
这里我使用Burp、内置浏览器和Proxifier进行爆破

收集域内相关信息

域成员收集-用于用户名爆破

JACK-PC 已知明文收集

Intruder进行Exchange服务爆破

使用已知账号 0day\jack admin!@#45抓登陆包(建议使用firefox 或Burp内置浏览器)
设置变量位置 用于爆破用户名

返回响应长度不同 并且返回内容设置了cookie ，爆破成功这些exchange用户名密码都为admin!@#45
成功登陆

当然这只是关于Exchange邮箱的利用，接下来可以进行邮件钓鱼之类的攻击，但是并不能直接进行横向移动

域横向移动-内网服务-Exchange漏洞

攻击流程-图解

确定内核版本-筛选Server版本-确定漏洞对应关系-选择漏洞进行漏洞

微软官方找符合利用条件的漏洞
https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

确定是exchange server2010版本，筛选可用漏洞

# CVE-2020-17144 Exchange RCE

前提：普通用户
影响版本：Microsoft Exchange Server 2010

CVE-2020-17144-EXP.exe mail.example.com user pass

示例：

CVE-2020-17144.exe 192.168.3.142 jack admin!@#45

项目可以通过github下载，自己编译的时候自定义后门内容，上传后门成功后连接后门直接横向移动到Exchange服务器上，也就是域控服务器

无权访问？(使用了代理转发，可能域控在某方面有限制)

在jack-pc上可以进行访问连接

CVE-2020-0688(反序列化漏洞)

可以利用该漏洞进行命令执行，文件下载进行上线
……

参考

https://www.cnblogs.com/xiaozi/p/14481595.html

查看全文

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.dgrt.cn/a/2112385.html

如若内容造成侵权/违法违规/事实不符，请联系一条长河网进行投诉反馈，一经查实，立即删除！

相关文章：

【内网安全】横向移动Exchange服务有账户CVE漏洞无账户口令爆破

文章目录章内容什么是Exchange Server域横向移动-内网服务-Exchange探针1、端口扫描2、SPN扫描3、脚本探针(还可以探针是否有安全漏洞)域横向移动-内网服务-Exchange爆破手工与项目收集域内相关信息Intruder进行Exchange服务爆破域横向移动-内网服务-Exchange漏洞攻击流程-图解……

编程日记2023/3/30 16:38:49

20分钟快速入门Gradle

文章目录一、初识Gradle1.1 什么是Gradle1.2 Gradle和Maven的异同二、Gradle常用命令三、Wrapper 包装器3.1 什么是Wrapper 包装器3.2 Wrapper 包装器怎么使用一、初识Gradle
1.1 什么是Gradle
Gradle是一种自动化构建工具，用于编译、测试、打包和部署应用程序。它……

编程日记2023/3/30 16:38:40

maven的安装配置 (自学记录)

操作系统:windows10
jdk版本:1.8
maven版本:3.5.0
1.maven 的安装与配置
1.安装jdk1.8(我一直用的是1.8 所以不用再安装了)
2.下载Apache maven (maven 官网) 3.将maven3.5.0 解压出来 并且复制路径(例如: D:\biancheng\apache-maven-3.5.0\bin )
4.在环境变量中添加M……

编程日记2023/3/30 16:38:12

servlet 生命周期(面试知识储备)

servlet生命周期:指的是servlet从创建到销毁的整个过程.
servlet通过init()方法进行初始化.
servlet通过service()方法来处理客户端的请求.
servlet通过调用destroy()方法终止(结束).
servlet生命周期方法详细介绍:
init()方法:
init()方法是初始化方法,servlet在调用的时……

编程日记2023/3/30 16:38:10

java MVC(面试知识储备)

MVC的概念: mvc模式并不是javaweb项目中独有的,他是软件工程中的一种软件架构模式, 把软件分为三个基本部分:模型(model) 视图(view) 控制器(controller), MVC. 它是一种软件设计典范,最早Trygve Reenskaug提出，为施乐帕罗奥多研究中心（Xerox PARC&amp……

编程日记2023/3/30 16:38:10

java三大集合框架(面试知识储备精华篇)

java三大集合框架 : set list map 如上图 set list 都属于collection的子接口(collection为顶层接口) Map 不属于collection接口
Set接口:
无序可变的数组,不允许添加重复元素,如果视图把两个相同的元素加入到同一个集合中,add方法返回false.
set判断对象是否相同使用……

编程日记2023/3/30 16:38:09

px换算成rem—-非常简洁实用，另外附上详细代码解释。

源码（公司老哥写的。）：
最终可实现：例如宽 20px 的图，就可以写成 0.2rem ； 公式为20px/1000.2rem；
var rootResizefunction(){var baseFontSize 100;var baseWidth 640;var minWidth320;var……

编程日记2023/3/30 16:38:09

自我介绍 DOM BOM ECMAScript

他们都是什么？ DOM:
文档对象模型(Document Object Model) 缩写为 DOM ,
DOM是W3C（万维网联盟）标准。
DOM定义了访问文档的标准：
“W3C文档对象模型（DOM）是一个平台和语言中立的接口，允许程……

编程日记2023/3/30 16:38:08

《 vue 》图片批量预加载

/*
* 单独创建个js 并引用自动加载 资源预加载 20200329
*/
(function(){let images [require(../assets/img/again.png),require(../assets/img/answerBg.png),require(../assets/img/answerFloor.png),require(../assets/img/cheer.png),require(../assets/img/circular.……

编程日记2023/3/30 16:38:07

egret MP3加载失败 egret 加载音频报错 白鹭引擎无法加载音频

egret MP3加载失败 egret 加载音频报错 白鹭引擎无法加载音频
目的：记录白鹭引擎的 MP3加载失败规律：所有MP3文件都无法正常加载。 chorme（不正常）| 火狐（正常）| 微信（正常）。
报错……

编程日记2023/3/30 16:38:07

cocos-lua游戏中横屏，竖屏动态切换

1、转载自 https://blog.csdn.net/oJianYue12/article/details/80927700
2、注意点: AndroidManifest.xml文件中的配置 android:configChanges"orientation|screenSize"；android:screenOrientation"sensorLandscape"
这两个配置需要根据自……

编程日记2023/4/16 15:00:52

lua require机制

https://www.cnblogs.com/softidea/p/5242941.html…

编程日记2023/4/16 15:00:52

lua程序设计（一）

一、lua的概述 1.简单易学 2.比较灵活，数据结构只有表一种
二、 1、变量命名规范：建议遵循驼峰规则；区分大小写（注意变量命名）；避免下划线开头并紧接着一个大写字母（可能与lua中对 应的全局变量……

编程日记2023/4/16 15:00:51

cocos2d-3.10 整合版本连接

官方给出的是在：http://www.cocos2d-x.org/filedown/CocosForWin-v3.10.exe 如果下载不了，可以在这里下http://cdn.cocos2d-x.org/CocosForWin-v3.10.exe…

编程日记2023/4/16 15:00:51

code=45, title=禁止登录, message=登录失败，建议升级最新版本后重试，或通过问题反馈与我们联系。

如果你是采用 java 开发的，你可以参考本文章，java 和 kotlin 都是可以相互转换的。 在解决之前，先说明环境: JDK版本：java version "17.0.3.1" 【Oracle JDK】 Kotlin版本：1.8.20 采取simbot核心包开发&am……

编程日记2023/4/16 15:00:51

cocos2d屏幕适配方案以及winsize,framesize,VisibleSize,contentSize的区别和联系

一、首先要吐槽小cocos官方把这个问题描述的很模糊，讲解的不清不楚，很多人工作两三年的人也不明白。
二、言归正传：阐述下winsize，framesize,VisibleSize,contentSize的概念。frameSize表示的是屏幕的分辨率， 这里多说……

编程日记2023/4/16 15:00:50

lua协程详解

https://www.cnblogs.com/zrtqsk/p/4374360.html…

编程日记2023/4/16 15:00:50

lua协程实例

一、lua协程的和c中协程的区分 1. lua 程序设计中的关于lua多线程以及协程的概述 上述说的意思我认为就是 lua的协程类似于但是不等同于真正意义的多线程（同时执行一些操作）；我做过测试，同时创建1000个协程并执行（代码……

编程日记2023/4/16 15:00:49

cocos内存管理原理详解

转载自：COCOS学习笔记–Cocod2dx内存管理(三)-Coco2d-x内存运行原理_RapdoZoroの博客-CSDN博客_cocos2dx引擎内存管理工具
一、cocos2dx之如何优化内存使用（高级篇）_yixiao3660的专栏-CSDN博客
cocos2d中对于图片动画加载缓存的使用 – 简书……

编程日记2023/4/16 15:00:49

cocos creator实战项目记录(一)

creator（一下简称ccc）貌似从16年发布到现在已经有五年了，当时我还是游戏开发菜鸟，不过当时我已经在从事cocos-js的工作，所以对ccc的发布还是比较关注。不过后来，阴差阳错的一直没有干ccc相关的项目&#xf……

编程日记2023/4/16 15:00:48