前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >专栏 >Microsoft Exchange - 权限提升

Microsoft Exchange - 权限提升

作者头像
洛米唯熊
发布于 2019-09-17 09:28:58
发布于 2019-09-17 09:28:58
2.9K00
代码可运行
举报
文章被收录于专栏:洛米唯熊洛米唯熊
运行总次数:0
代码可运行
关联问题
换一批

0x00:简介

在红队操作期间收集域用户的凭据可能导致执行任意代码,持久性和域升级。但是,通过电子邮件存储的信息对组织来说可能是高度敏感的,因此威胁行为者可能会关注电子邮件中的数据。这可以通过向目标用户的邮箱添加规则来实现,该规则将电子邮件转发到攻击者控制的收件箱,或者将邮箱的访问权委托给他们的Exchange帐户。

Zero Day Initiative的Dustin Childs在Microsoft Exchange中发现了一个漏洞,可能允许攻击者冒充目标帐户。存在此漏洞是因为根据设计,Microsoft Exchange允许任何用户指定推送订阅的URL,Exchange将向此URL发送通知。NTLM哈希值也泄露,可用于通过NTLM中继与Exchange Web服务进行身份验证,泄漏的NTLM哈希值。零日活动博客已涵盖该漏洞的技术细节。

0x01:电子邮件转发

从Outlook Web Access(OWA)门户访问受感染的帐户并选择收件箱文件夹的权限将打开一个包含邮箱权限的新窗口。

收件箱权限

应添加目标帐户以拥有邮箱的权限。这是检索帐户的SID(安全标识符)所必需的

添加目标帐户的权限

在浏览器中打开网络控制台并浏览邮箱文件夹将生成将发送到Microsoft Exchange服务器的请求。

POST请求到Microsoft Exchange

检查请求的HTTP响应将显示管理员帐户的SID。

管理员SID

这次攻击的实施需要来自Zero Day Initiative GitHub存储库的两个python脚本。该serverHTTP_relayNTLM.py脚本需要已检索,交易所的IP地址的目标端口和已经受损,是在红队的控制的电子邮件帐户管理员的SID。

配置serverHTTP_relayNTLM脚本

一旦脚本具有正确的值,就可以执行该脚本以启动中继服务器。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
python serverHTTP_relayNTLM.py

中继服务器

该Exch_EWS_pushSubscribe.py要求域凭据和妥协帐户的域和中继服务器的IP地址。

推送订阅脚本配置

执行python脚本将尝试通过EWS(Exchange Web服务)将pushSubscribe请求发送到Exchange。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
python Exch_EWS_pushSubscribe.py

pushSubscribe python脚本

交流回应

XML Reponse

管理员的NTLM哈希将被中继回Microsoft Exchange服务器。

中继管理员NTLM

中继管理员NTLM到Exchange

电子邮件将被发送到目标帐户的邮箱(管理员)将自动转发到红队控制下的邮箱。

电邮至目标帐户

电子邮件将在Red Team控制的帐户的收件箱中转发。

电子邮件自动转发

已通过使用NTLM中继对Exchange进行身份验证,为目标帐户创建了一条规则,该规则将所有电子邮件转发到另一个收件箱。这可以通过检查目标帐户的收件箱规则来验证。

规则 - 转发管理员电子邮件

0x02:委托访问

如果Microsoft Exchange用户具有分配的必要权限,则可以将其帐户(Outlook或OWA)连接到其他邮箱(委派访问权限)。尝试在没有权限的情况下直接打开另一个帐户的邮箱将产生以下错误。

打开另一个邮箱 - 没有权限

有一个python 脚本利用相同的漏洞,但不是添加转发规则,而是为帐户分配权限以访问域中的任何邮箱,包括域管理员。该脚本需要有效凭据,Exchange服务器的IP地址和目标电子邮件帐户。

脚本配置

执行python脚本将尝试执行提升。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
python2 CVE-2018-8581.py

特权升级脚本

脚本完成后,将显示一条消息,通知用户可以通过Outlook或Outlook Web Access门户显示目标帐户的邮箱。

权限提升脚本 - 委派完成

需要使用Outlook Web Access进行身份验证才能查看委派的邮箱。

Outlook Web Access身份验证

Outlook Web Access具有允许Exchange用户在拥有权限的情况下打开另一个帐户的邮箱的功能。

打开另一个邮箱

屏幕上将显示以下窗口。

打开另一个邮箱窗口

管理员的邮箱将在另一个选项卡中打开,以确认权限的提升。

0x03:原文链接

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
https://pentestlab.blog/category/red-team/

0x04:文章参考

  • https://www.zerodayinitiative.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange https://github.com/thezdi/PoC/tree/master/CVE-2018-8581 https://github.com/WyAtu/CVE-2018-8581
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-09-16,如有侵权请联系 cloudcommunity@tencent.com 删除
网站
access
python

本文分享自 洛米唯熊 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

网站
access
python
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
鹅厂写码13年,我总结的程序员高效阅读方法论
6367
进程,线程,协程 - 你了解多少?
2617
微服务与分布式系统设计看这篇就够了!
2218
腾讯文档表格卡顿指标探索之路
2020
从Hadoop1.0到Hadoop2.0架构的优化和发展探索详解
2010
微服务架构:由浅入深带你了解底层注册中心
1995
从现有Linux系统上安装Archlinux
云服务器linux
以Oracle Cloud环境为例,从现有Linux系统上安装Archlinux [理论上可以无VNC实现]
hiplon
2020/07/15
3.2K0
安装Arch Linux之后要做的几件事情
linuxflash
Arch Linux是一个简洁优美的Linux发行版,但是相对应的配置起来就略显麻烦了,所有的配置都需要自己管理。 这里是一些安装之后的配置,大家可以根据需求进行配置。另外,这里是按照分类写的,实际配置的时候不一定非要按顺序配置。比如可以先配置桌面,然后在浏览器中直接复制粘贴命令,就会方便的多。
乐百川
2022/05/05
1.2K0
安装Arch Linux之后要做的几件事情
Centos 7镜像源
com镜像配置centoshttp
一个适用于 CentOS 7 的完整的镜像源配置。CentOS 7 使用 yum 包管理器来安装和更新软件包。你可以通过编辑 /etc/yum.repos.d/CentOS-Base.repo 文件来配置你的镜像源。
chuchur
2024/12/21
3930
Manjaro20.0添加国内源、社区源、AUR源
linux存储javascript
AUR 是 Arch User Repository(Arch 用户软件源)的简称,类似 Ubuntu 上的 PPA,AUR 包含了一些不被官方源收录的软件。
hotarugali
2022/02/28
12.9K0
常用Linux发行版镜像源配置
linuxubuntu
最近研究Linux,试了一些Linux发行版,但是大多数发行版的软件源速度都不是很理想。所以我这里干脆做了一个收集,把我用过的一些常用发行版的软件源设置方法做个总结,大家也可以做个参考。
乐百川
2020/03/18
1.9K0
树莓派4b-manjaro切换国内源
armlinux
1.这里没有更改/etc/pacman.conf,直接编辑/etc/pacman.d/mirrorlist文件,备份好该文件,注释掉其他行并添加下面行。
咖啡走糖
2022/11/05
4420
树莓派3B+安装ArchLinux ARM
arm
前段时间树莓派一直吃灰了,这几天想起来,拿出来,准备安装个ArchLinux ARM玩玩。这里我想吐槽一点,我买了3B+没一个月,树莓派4就出来了,而且还有4GB的高配版,搞得我现在手里这个很尴尬。不过想到手里这个一直在吃灰也没啥作用,我就又放心了。等到啥时候我给树莓派找到点事情,让他一直开机运行,啥时候我在考虑搞个新版玩玩。
乐百川
2020/02/18
2.7K0
树莓派3B+安装ArchLinux ARM
Windows下的仿linux环境msys2介绍
linux
msys2是一种在Windows平台上模拟Linux运行环境的技术,它的一个优点就在于利用pacman包管理器,我们可以比较轻松的使用Linux包管理器的方式来安装一整套可以在Windows上运行的Linux工具。如果你只是想要在Windows上简单运行一些Linux程序,那么msys2是一个很好的选择。
乐百川
2020/04/10
2.6K0
Windows下的仿linux环境msys2介绍
玩转 Linux 最受欢迎发行版 Manjora:配置及软件安装
linuxshelljdk数据库sql
安装好 manjora 后,基础配置往往不够我们日常需求,然后我们就需要对其进行一些改造,让其成为我们称手的工具。先介绍下常用软件命令,后边的过程中将会频繁使用它们。
村雨遥
2020/05/25
1.4K0
虚拟机安装archlinux的简单步骤
虚拟化linux
这篇文章是我在虚拟机安装archlinux之后的一点心得,参考了archwiki关于安装arch的一些内容https://wiki.archlinux.org/index.php/Beginners%27_guide 。
乐百川
2022/05/05
2.2K0
安装CentOS7虚拟机, 配置docker套件
其他
CentOS7比ubuntu的一键式安装要稍微复杂一些, 有些小伙伴按照下一步, 下一步的套路安装完成, 发现没有图像化界面, 在纯粹的命令行里面, 很多小伙伴是不适应的, 这里我把centos7在vmware里面的安装过程记录一下, 没有centos7安装经验的小伙伴可以参考一下
zhaoolee
2018/08/02
7430
安装CentOS7虚拟机, 配置docker套件
MANJARO KDE安装配置(已换Arch Linux,此贴可能废弃)
linux
安装后阿可能有打不开steam的情况,记得安装libGL相关的包,一般是缺失例如lib32-nvidia-440xx-utils的包,记得选择和自己安装的相关的包哦
impressionyang
2020/08/27
4.1K0
MANJARO KDE安装配置(已换Arch Linux,此贴可能废弃)
Archlinux 入门初步
linux
  从 archlinux 官方或者是镜像源下载到 iso 文件,并使用以下命令制作启动U盘。
zhonger
2022/10/28
2K0
Linux发行版的镜像网站及开源软件收集
httpshttp网络安全centos
描述:为了方便在进行Linux运维和开源软件下载更快的部署和下载镜像以及软件包,常常从以下网站进行下载拉取更新包;
全栈工程师修炼指南
2020/10/26
4.4K0
从termux到archlinux安装记录
gitclonepackagetcpvim
安装过程中可能会进入修改源的vim界面,如果使用官方默认源则无需修改,不过这里建议改成清华源:
QAIU
2023/03/14
2.5K0
从termux到archlinux安装记录
msys2安装与使用_mingw使用教程
https网络安全编程算法java
使用[清华大学开源软件镜像站]中的地址,修改\etc\pacman.d目录下的三个文件。
全栈程序员站长
2022/09/20
2.5K0
msys2安装与使用_mingw使用教程
Arch Linux 安装指南
linuxide
如果想要学习Linux,Arch Linux是个很好的选择。Arch Linux提供了非常详细并且更新及时的Wiki(帮助文档),使用系统的过程中遇到的问题基本上都空余从上面找到。
小陈运维
2021/10/13
2.6K0
Arch Linux系统的一般维护
缓存bashbash 指令linux
维护Arch Linux安装其实非常简单直接,只要你记住一些事情。 分发的滚动版本意味着我们不必担心像其他发行版(Ubuntu和Debian等等)的主要版本升级。 只要您明智地使用Pacman并定期更新您的软件包,您就不应该遇到任何破坏的问题,而不能使用Arch的软件包。 以下将概述我的建议,以保持Arch更新和运行,就像您安装的那一天,或更好! 我也将提供一个简短的部分来优化Arch,首先安装它将使维护更快,更容易长期。 和往常一样,这些只是我的想法,在使用Arch时应该引用任何官方文档。 我假设你是所有以下命令的sudoer。 但是,只要您是sudoer或可以更改为root用户,您应该可以。 ArchWiki是一个很好的资源,很多指南和信息都是有用的,即使你没有使用Arch。 他们的IRC频道#archlinux可以在irc.freenode.net上找到 。 这是另一个很好的地方提出问题,并从更有经验的用户收集有用的见解。 只要不要洪水通道,不断地一遍又一遍地问同一个问题!
子润先生
2021/06/14
2.1K0
CentOS 8 停止服务,镜像已被官方移动
yumhttps网络安全centos
随着 2021 年的落幕,CentOS Linux 8 的生命周期也走到了尽头,此后将不再获得安全和功能更新。近期发现 CentOS 8 镜像已被官方移动,无法通过官方yum获取软件安装包;
Kevin song
2022/03/14
2.5K0
CentOS 8 停止服务,镜像已被官方移动
Arch Linux的正确使用方法
其他
谈起我的 Linux 学习之路,时间其实并不长。但是我却花了相对很少的时间,已经能达到把 Linux 当作自己的桌面系统的程度了。 Ubuntu 的体验令我有点沮丧,再者它也不适合我机子。后来我又知道了 Debian ,这个发行版据称稳定健壮。我这次怀着犹豫的心情去安装了,安装过程不像 Ubuntu 那样顺利,记得应该遇到过一点问题,但还是解决了。这次的 Debian 安装让我很满意,我的电脑像复活了一样,再也不会卡顿了。然而面对 Debian 我能干什么?我后来发现我什么也没干,我不了解任何东西,我也
小小科
2018/05/04
5.7K0
Arch Linux的正确使用方法
推荐阅读
编辑精选文章
鹅厂写码13年,我总结的程序员高效阅读方法论进程,线程,协程 - 你了解多少?微服务与分布式系统设计看这篇就够了!腾讯文档表格卡顿指标探索之路从Hadoop1.0到Hadoop2.0架构的优化和发展探索详解微服务架构:由浅入深带你了解底层注册中心
相关讨论
您好,我们这边是清华大学aminer平台?Discuz 最新源码在哪里下载?腾讯云服务器更新源的问题?
相关课程
Java大数据区块链
从现有Linux系统上安装Archlinux
3.2K0
安装Arch Linux之后要做的几件事情
1.2K0
Centos 7镜像源
3930
Manjaro20.0添加国内源、社区源、AUR源
12.9K0
常用Linux发行版镜像源配置
1.9K0
树莓派4b-manjaro切换国内源
4420
树莓派3B+安装ArchLinux ARM
2.7K0
Windows下的仿linux环境msys2介绍
2.6K0
玩转 Linux 最受欢迎发行版 Manjora:配置及软件安装
1.4K0
虚拟机安装archlinux的简单步骤
2.2K0
安装CentOS7虚拟机, 配置docker套件
7430
MANJARO KDE安装配置(已换Arch Linux,此贴可能废弃)
4.1K0
Archlinux 入门初步
2K0
Linux发行版的镜像网站及开源软件收集
4.4K0
从termux到archlinux安装记录
2.5K0
msys2安装与使用_mingw使用教程
2.5K0
Arch Linux 安装指南
2.6K0
Arch Linux系统的一般维护
2.1K0
CentOS 8 停止服务,镜像已被官方移动
2.5K0
Arch Linux的正确使用方法
5.7K0
相关推荐
从现有Linux系统上安装Archlinux
更多 >
全栈程序员站长0
LV.1
CTO
文章
55K
获赞
121.5K
作者相关精选
加入讨论
的问答专区 >
VyrnSynx0
相关课程
一站式学习中心 >
Java
1846人在学
java
大数据
474人在学
大数据
区块链
271人在学
区块链
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
3
查看详情【社区公告】 技术创作特训营有奖征文