文章插图
文章插图
relay到EWS接口通过HomePage控制Outlook客户端
文章插图
2. Exchange中的SSRF在常规渗透中,SSRF常用以对内网的应用进行嗅探,配合内网某些未授权访问的应用来扩大攻击面.由于Exchange的SSRF默认携带凭据,在Relay的场景中,攻击利用面被不断放大,网上公开的一个SSRF就是CVE-2018-8581.
主要有两种应用,relay到EWS接口,relay到LDAP
(1) relay到EWS接口
由于Exchange 是以System用户的权限运行,因此我们拿到的是机器用户的Net-Ntlm Hash 。并不能直接用以登录 。但是Exchange 机器用户可以获得TokenSerializationRight的”特权”会话,可以Relay 到 机子本身的Ews接口,然后可以使用SOAP请求头来冒充任何用户 。
文章插图
具体利用请见Wyatu师傅的https://github.com/WyAtu/CVE-2018-8581
(2) relay到LDAP
所有的Exchange Server 都在Exchange Windows Permissions组里面,而这个组默认就对域有WriteACL权限.因此我们可以relay到LDAP,而又由于Relay到的服务端是Ldap,Ldap服务器的默认策略是协商签名 。而不是强制签名 。是否签名由客户端决定 。在SSRF里面发起的请求是http协议,http协议是不要求进行签名.
这里面
攻击者:172.16.228.1
Exchange:172.16.228.133
域控:172.16.228.135
- 使用impacket监听端口等待连接
文章插图
- 发起推送订阅指定所需的URL,Exchange. 服务器将尝试向这个URL发送通知
文章插图
- Relay 到域控的Ldap 服务器并给普通用户daiker添加两条acl
文章插图
【渗透测试中的Exchange】
文章插图
- daiker进行Dcync
文章插图
0x09 引用
- 渗透技巧——获得Exchange GlobalAddressList的方法
- Owa-Outlook备忘录
推荐阅读
- 响应式网页中的高度设计,你认真的吗?
- 六百年的茶马往事,普洱茶中的精品茶化石
- “两肋插刀”中的“两肋”是指什么?
- 七步成诗中的成语有哪些 七步成诗是成语故事吗
- 别具情调的茶室,轻松掌握茶室中的花道
- IDEA远程调试
- 在安卓手机搭建kali环境,手机变成便携式渗透神器
- ASR 语音识别算法测试设计
- 谈谈Nginx负载均衡中的6种均衡策略
- 绿茶中的茶王,邵武市第二届茶王赛即将开展