3、通过Outlook客户端使用的协议 Outlook客户端通常使用的协议为RPC、RPC over HTTP(也称作Outlook Anywhere)和MAPI over HTTP。...六、规则同步 对于 Exchange 规则的利用其实还有很多其他方法。利用规则配合 Outlook 客户端可以实现对用户主机的入侵。...规则和通知功能的滥用 Outlook 提供了一项“规则和通知”(Rules and Alerts)的功能,可以设置邮件接收和发送的策略,分为规则条件和动作,即用户定义当邮件满足某些条件时(如邮件主题包含特定词语...shell(因为只能执行 powershell.exe 而无法传递后面的命令行参数); 用户需要在开启 Outlook 的情况下触发规则条件才有效,在未使用 Outlook 的情况下无法触发动作;但是,...用户通过其他客户端(如 OWA )接收浏览了该邮件,而后打开了Outlook,仍然可以触发该动作发生(只要这封邮件没有在打开Outlook之前删除); 规则和通知可以通过 Outlook 进行创建、管理和删除
,用于自动配置用户在Outlook中邮箱的相关设置,简化用户登陆使用邮箱的流程。...Exchange Web Service,实现客户端与服务端之间基于HTTP的SOAP交互 /mapi/ Outlook连接Exchange的默认方式,在2013和2013之后开始使用,2010 sp2...,减轻Exchange的负担 /owa/“Outlook Web APP” Exchange owa 接口,用于通过web应用程序访问邮件、日历、任务和联系人等 /powerShell/ 用于服务器管理的...,在2013和2013之后开始使用,2010 sp2同样支持 /powershell # 用于服务器管理的 Exchange 管理控制台 爆破比较实用的工具有Eburst...命令执行 OUTLOOK 客户端有一个 规则与通知 的功能,通过该功能可以使outlook客户端在指定情况下执行指定的指令。
从Exchange 2013开始,Outlook不再区分内外网环境,统一使用Outlook Anywhere,同时,不需要开放单独的RPC端口。...规则和通知功能的滥用 Outlook提供了一项 ”规则和通知“ (Rules and Alerts)的功能,可以设置邮件接收和发送的策略,分为规则条件和动作,即用户定义当邮件满足某些条件时(如邮件主题包含特定词语...shell(因为只能执行powershell.exe而无法传递后面的命令行参数); 用户需要在开启Outlook的情况下触发规则条件才有效,在未使用Outlook的情况下无法触发动作;但是,用户通过其他客户端...(如OWA)接收浏览了该邮件,而后打开了Outlook,仍然可以触发该动作发生(只要这封邮件没有在打开Outlook之前删除); 规则和通知可以通过Outlook进行创建、管理和删除,OWA对规则和通知的操作可用项较少...Outlook的主机上,要么位于主机可访问到的位置(如内网共享文件夹、WebDAV目录下等); Ruler也提供了利用上述规则和通知功能,可以通过命令行创建规则、发送邮件触发规则。
本章内容包括: 常见远程连接方式的剖析 从密码学角度理解NTLM协议 PTT和PTH的原理 如何利用PsExec、WMI、smbexec进行横向移动 Kerberos协议的认证过程 Windows认证加固方案...PTH(Pass the Hash 哈希传递)来进行横向渗透 2、单机密码抓取 可以使用工具将散列值和明文密码从内存中的lsass.exe进程或SAM文件中导出 本地用户名、散列值和其他安全验证信息都保存在...SAM文件中,SAM文件保存位置C:\Windows\System32\config,该文件不允许复制,但可以使用U盘进入PE系统进行复制 lsass.exe进程用于实现Windows的本地安全策略和登陆策略...八、DCOM在远程系统中的使用 DCOM(Distributed Component Object Model,分布式组件对象模型)是微软的一系列概念和程序接口 基于组件对象模型(COM),COM提供了一套允许在同一台计算机上的客户端和服务端之间进行通信的接口...“.edb”,存储在Exchange服务器上,使用PowerShell可以查看相应信息 Exchange邮件的文件后缀为“.pst” UNC(Universal Naming Convention,通用命名规则
2015年12月,尼克·兰德斯在Silent Break Security网站发布了一篇题为《恶意的Outlook规则》的文章,在这篇文章里,他讨论了如何持久性地利用Outlook恶意规则。...实际上,规则是存储在Exchange服务器上的。这些规则会和所有的Outlook客户端同步。目标设备在不同的位置登录时,这些规则也会自动下载和执行。...首先,我从.msg文件成功导入了恶意规则条目,一个带有条件和操作的测试规则被成功创建。...第三步 在MSDN上有一段代码展示了如何修改接收特定邮件的敏感度来创建一个规则,这段代码是通过手动设置关键属性和在规则表中添加一个行起作用的。...*属性:存储在消息关联内容表中的条目属性 在应用测试中,我发现Outlook用来显示的规则属性和Exchange所用的属性是不一样的,例如,Outlook是使用PR_RULE_MSG_ACTIONS来存储规则名称的
# 2.如何在Windows操作系统的客户端版本上允许从公共网络进行远程访问,对于不同版本的Windows,防火墙规则的名称可能不同; # NetSecurity模块中的Set-NetFirewallRulecmdlet...添加了防火墙规则,该规则允许从任何远程位置从公共网络进行远程访问 Get-NetFirewallRule -Name 'WINRM*' | Select-Object Name # Name...该cmdlet阻止对本地计算机上所有PowerShell版本和更高会话会话配置的远程访问,同样需要使用“以管理员身份运行” 选项启动。...描述: 从Windows PowerShell 3.0开始,您可以等待重新启动完成,然后再运行下一个命令。指定等待超时和查询间隔,并等待重新启动的计算机上的特定服务可用。...Start-Process -FilePath "powershell" -Verb RunAs # 6.此示例演示如何查找启动进程时可以使用的动词,可用的谓词由进程中运行的文件的文件扩展名决定。
microsoft graph的api,一次调用10个api,5个onedrive的api还有4个outlook的api,剩下一个是组的api,调用一次后延时等待五分钟再重复调用。...记录ID 下面会用到 点击左边管理的证书和密码,点击+新客户端密码,点击添加,复制新客户端密码的值 记录这个值 下面会用到 点击左边管理的API权限,点击+添加权限,点击常用Microsoft...软件掏出来 打开 rclone.exe 所在文件夹,shift+右键,在此处打开powershell,输入下面修改后的内容,回车后跳出浏览器,登入e5账号,点击接受,回到powershell窗口,看到一串东西.../rclone authorize "onedrive" "应用程序(客户端)ID 去上面找,让你保存的" "应用程序密码 去上面找,让你保存的" 执行完毕后 找到 "refresh_token":"...,从双引号开始选中到 ","expiry":2021 为止(就是refresh_token后面双引号里那一串,不要双引号),如下图,右键复制保存(获得了微软密钥) GITHUB方面的准备工作
,才能进行内容更新修改操作。...尽管技术上看似简单,但很难从所有合法网络流量中识别出C&C和Exfiltration方式流量。...另外,还可以通过其它手段来增加检测发现难度:当被渗透控制的企业用户主机启动邮箱客户端程序时,运行植入的恶意程序,通过企业内网非黑名单IP接入Webmail端,使用与目标企业机构相同的移动运营商、程序终端...在这里,我们使用PowerShell脚本作为PoC验证。 在我们控制利用的企业用户电子邮箱中,包含可以定期执行我们控制命令的简单PowerShell脚本。...以下为该过程中利用的完整Powershell脚本: 如果目标企业机构使用的是其它架构邮箱系统,如Microsoft (Exchange/Outlook/OWA)等,这其中相关的消息、收件箱
SMB执行身份验证,一切都通过DCERPC执行,无需创建服务,而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可(所以要事先知道目标上的服务名称,支持py和exe...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示的对象。...如果客户端使用ProgID,则首先将其本地解析为CLSID。 远程计算机检查是否存在与所讨论的CLSID关联的AppID,并验证客户端的权限。...在客户端应用程序和服务器进程之间建立通信。在大多数情况下,新过程是在与DCOM通信关联的会话中创建的。 然后,客户端可以访问新创建的对象的成员和方法。...很少使用,并且合法地加载此对象的Outlook实例是极为罕见的现象。
DCOM在远程系统的使用 DCOM(分布式组件对象模型)是微软的一系列概念和程序接口。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。...利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求 COM提供了一套允许在同一台计算机上的客户端和服务器之间进行通信的接口(运行在Windows95及之后版本的操作系统中)。...DCOM使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外,因此,在远程系统上托管COM服务器端的软件(通常在DLL或exe中)可以通过RPC向客户端公开其方法 攻击者在进行横向移动时...加载powershell拓展,以便使用powershell命令 ?.../id/215960 如何利用导出函数和暴露的DCOM接口来实现横向渗透 - 安全客,安全资讯平台 (anquanke.com) 不一定需要有命令执行才可以横向移动,有一些方法依然可以达到同样效果,需要发挥攻击者的创造力
升级完成后,可以检查一下exchange的服务,控制台,powershell能否打开,一些服务器、IIS的配置有没有被更改。 从outlook客户端的连接状态可以看出,现在的版本已经为14.1了。...https://support.microsoft.com/zh-cn/kb/2550886 修改程序的下载地址会发到邮箱中,我们从邮箱接收到的连接去下载fix程序。 ?...id=45225 在补丁下载链接里面详细说明了安装RU时需要的先决条件和系统条件要求,可以自行查看 也可以通过WSUS去更新。 下面是安装RU的步骤。安装之前也会先checking system。...查看outlook连接的exchange版本号为14.3.224. ? 运行exchange的powershell命令,查看所有服务器的exchange的版本号,确保均已升级到了最新版本。...查看控制台的版本。 ? 全部更新完成后,我们可以去检查CASHUB的配置,mailbox的配置,分协议去测试客户端同exchange的连接是否正常。
2、设置订阅的账户需要有Office365的邮箱和安全中心的许可证 因为要收到邮件,必须得有outlook邮箱功能,而outlook邮箱属于office365许可 3、需要管理员管理门户设置中开启订阅功能...,如订阅名称、收件人邮箱(必须是同一个PBI账户后缀的邮箱)、是否需要完整的报告(如PDF附件)、订阅的开始日期、结束日期和具体时间,订阅频率(每天、每周等)、时区等 4.以上设置完成后,保存,可以单击立即发送测试订阅效果...5.由于一个团队内的成员不可能所有成员都有Power BI账户和邮箱许可,但是各个团队成员有需要收到订阅邮件,可以先在订阅设置里面将收件人设置为自己的office365邮箱账户,然后再使用365邮箱自动转发规则给非...四、开启邮箱的自动转发功能 Office365邮箱自动转发规则设置后,需要开启邮箱的自动转发功能策略,开启方法如下: 1.打开Microsoft35的安全模块 2.在office365安全中心找到策略和规则.../威胁策略/反垃圾邮件策略 3.添加保护设置,自动转发选项设置为“打开启用转发” 4.保存后出现客户端错误,则需要开启管理员权限 5.开启管理员权限的方法如下: 5.1用管理员权限打开powershell
利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求。 DCOM是COM(组件对象模型)的扩展,它允许应用程序实例化和访问远程计算机上COM对象的属性和方法。...DCOM 使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外,因此,在远程系统上托管COM服务器端的软件(通常在DLL或exe中)可以通过RPC向客户端公开其方法。...(powershell命令行)默认只在powershell 3.0以上版本中存在,所以只有 Windows server 2012 及以上版本的操作系统才可以使用Get-Ciminstance。...使用DCOM对远程主机执行命令 下面通过几个实验来演示如何使用DCOM在远程主机上面执行命令。在使用该方法时,需要具有以下条件: 具有管理员权限的PowerShell 可能需要关闭目标系统的防火墙。...远程执行命令 使用条件:目标主机中安装有Outlook。
清除windows日志之安全日志 清除windows日志之系统日志 安全日志和系统日志比较常见,windows powershell日志记录的是系统windows powershell脚本运行的痕迹,...im | install-manifest 从清单中安装事件发布者和日志。 um | uninstall-manifest 从清单中卸载事件发布者和日志。...除非在整个入侵或者渗透过程中,攻击者利用powershell执行了某些指令?可是如何查看其执行的指令呢?是否预示。。。?毕竟现在还不清楚入侵手段。...(四)Update64.exe 从run64.bat我们可知,其实Update64.exe就是一个挖矿软件。文件属性如下图所示,文件修改时间为2016年9月2日。 ?...也就是压缩档文件update.exe是如何进入到用户系统的,目前不知道,还有整个分析过程没有发现“powershell”命令运行痕迹,结合run.bat里面清除”powershell”日志,是否有可能是利用某些漏洞攻击手法
Outlook Web Access 使域用户能够从外部访问其邮箱。但是,如果业务需要,则应评估 Exchange Web 服务和 Exchange ActiveSync。...规则 Nick Landers 在 2015 年发现,为了从远程位置(WebDAV 或 SMB 共享)执行任意代码并获得对用户主机的持久访问权限,可能会滥用 Microsoft Outlook(规则和警报...应用 Microsoft 补丁将永久禁用任意客户端邮件规则。...强制执行 LDAP 签名和 LDAP 通道绑定 与 Microsoft Exchange 相关的各种攻击滥用与 Active Directory 存在的信任关系,以修改权限并获得提升的访问权限。...管理员可以通过修改组策略管理编辑器手动执行更改。 可以通过组策略或本地安全策略为客户端启用 LDAP 签名。
感染链 攻击者向大量的企业邮箱发送钓鱼邮件。电子邮件有一行文字:“Get Outlook for Android”,该文字会根据攻击目标的位置进行本地化。...打开该文件后,会弹出如下的窗口: 【CHM 文件】 该文件包含混淆的 JavaScript 代码,会启动如下所示的 PowerShell 命令来下载最终 Payload: 【PowerShell...最终的 Payload 是一个 PowerShell 脚本,用于释放并运行 AgentTesla 恶意软件。...AgentTesla 是窃密软件,可以: 从浏览器、电子邮件客户端、VPN 客户端、FTP 客户端、剪贴板中窃取密码 获取用户按键记录 获取屏幕截图 窃取计算机相关信息 下载其他恶意软件 本次攻击行动的攻击者主要进行窃密...【FTP 服务器】 影响 攻击行动从 2022 年 8 月 12 日开始,针对南美洲国家、西班牙、葡萄牙和罗马尼亚进行大规模攻击,针对意大利和法国也有小范围攻击。
步骤三:单击“添加规则”按钮,依次添加如下规则: 规则一: 协议:TCP 端口:15636/15637 策略:允许 规则二: 协议:UDP 端口:15636/15637 策略:允许 添加成功后的效果如下图...PowerShell是一种任务自动化和配置管理框架,它提供了一个命令行Shell和脚本语言,用于管理和控制Windows操作系统和相关应用程序。那么要如何找到 PowerShell ?...你应该能够看到"Windows PowerShell"或"PowerShell"的搜索结果。点击该结果即可打开PowerShell。 使用运行对话框 按下Win + R键组合,打开运行对话框。...使用文件资源管理器 打开文件资源管理器(Windows资源管理器),导航到所需的目录,然后在地址栏中输入"powershell"并按下回车键。这将在当前目录中打开PowerShell。...可以修改name,即为房间名称;password即为房间密码,修改后点击Ctrl+S保存,然后重新启动 enshrouded_server.exe。
客户端并不只提取最新版本的文件快照,而是把代码仓库完整地镜像下来。这么一来,任何一处协同工作用的服务器发生故障,事后都可以用任何一个镜像出来的本地仓库恢复。...对于任何一个文件,在 Git 内都只有三种状态:已提交(committed),已修改(modified)和已暂存(staged)。 已提交表示该文件已经被安全地保存在本地数据库中了。...(git commit ) 已修改表示修改了某个文件,但还没有提交保存。(修改本地文件) 已暂存表示把已修改的文件放在下次提交时要保存的清单中。...先来讲一下ignore的一些规则吧,其中*代表所有通配符,!代表排除具体文件。...Git rm/reset使用说明 在使用Git add .命令时,会把工程中所有未跟踪的文件添加到git索引中,如果此时意识到有些文件不需要commit时,可以把文件从索引中删除: git rm —cached
在这篇文章中,我们将着重介绍如何通过SSH连接到你的云服务器。如何SSH连接云服务器我们将使用cmder(适用于Windows用户)或Terminal(适用于Mac用户)来进行连接操作。...以下是详细步骤:第一种方式:使用cmder类SSH客户端工具(适用于Windows用户)首先你需要有SSH连接客户端工具,诸如使用Cmder、PuTTY、XShell等SSH客户端或者Windows自带的...PowerShell连接。...为了安全起见,一般云主机厂商提供的云服务器默认是不允许ping的以Amazon EC2主机为例,主机ping不通是因为ping使用的是ICMP协议,和端口无关,因此需要安全组配置ICMP协议。...安全组添加新的入站规则,编辑入站规则--添加规则,搜索协议 “所有 ICMP - IPV4”,源选择“所有位置IPV4”,然后保存规则。
客户虚拟机2vCPU,16GB内存 性能不是很好,安装补丁安装了3个多小时,安装过程中有一些邮件被发送成功,安装完毕后发现邮件队列中还有大量的邮件,自己给自己发邮件也仍然被卡在了草稿箱(OWA,outlook...打开Powershell使用test-servicehealth 发现配置都正常。...后经过google查询有人遇到过接收连接器修改后无法收到邮件的情况,随即比对一个纯净的Exchange SErve 2013将客户的接收连接器恢复默认设定。重启传输服务问题依然。...并在发送连接器中指定使用传输服务器的外部DNS进行查找。重启服务器,发现问题解决了,卡在队列的几百封邮件都出去了。...随即判定,应该是Exchange运行过程中,调用到了公网DNS服务器的事,就像之前客户端加域,主DNS设定DC的地址,额外DNS设定为公网,经常会出现无法加域的情况,因此建议以后的域环境中,所有客户端与服务器都应将所有
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
