从域用户到域管理员的攻击技术: 1. SYSVOL 和组策略首选项中的密码 这种方法是最简单的,因为不需要特殊的“黑客”工具。...第 1 步:入侵单个工作站并利用系统上的提权漏洞获取管理权限。运行Mimikatz或类似工具以转储本地凭据和最近登录的凭据。...运行 Microsoft Exchange 客户端访问服务器 (CAS)、Microsoft Exchange OWA、Microsoft SQL 和终端服务 (RDP) 等应用程序的服务器往往在内存中拥有大量来自最近经过身份验证的用户...将此值设置为“True”将从涉及此系统的任何 WinRM 连接中删除加密,包括 PowerShell 远程处理。...一旦攻击者拥有 NTDS.dit 文件的副本(以及用于解密数据库文件中的安全元素的某些注册表项),就可以提取 Active Directory 数据库文件中的凭据数据。
Windows常用的提权方式有:内核提权、数据库提权、系统配置错误提权、组策略首选项提权、Bypass UAC提权、令牌窃取提权等姿势。...2.1 MySQL提权 利用mysql的几种提权方式,如udf提权、mof提权、启动项提权等。...启动项提权:将后面脚本上传到系统启动目录,当服务器重启就会自动执行该脚本,从而获取系统权限。...4、组策略首选项提权 SYSVOL是域内的共享文件夹,用来存放登录脚本、组策略脚本等信息。当域管理员通过组策略修改密码时,在脚本中引入用户密码,就可能导致安全问题。...6、令牌窃取提权 通过窃取令牌获取管理员权限,在MSF中,可以使用incognito实现token窃取。
服务器后,执行以下操作导出邮件 1....中包含pass的邮件,保存到Exchange服务器的c:\users\public\目录下 $User = "administrator" New-MailboxexportRequest -mailbox...导出邮件并保存至Exchange服务器的c:\users\public ,格式为pst文件 4. 如果新添加了用户,那么会将用户移除角色组”Mailbox Import Export” 5..../Homework-of-Powershell/blob/master/UsePSSessionToSearchMailfromExchange.ps1 搜索所有用户的邮件中包含单词pass的邮件并保存到用户...Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn; #获取所有用户邮箱(默认显示1000个) Get-Mailbox #获取所有用户邮箱
生产环境建议逐个安装,先CASHUB再MAILBOX,安装MBX的时候,先被动,再主动,安装过程中,要把活动数据库切换走,安装完成,再切换回来。...同时安装补丁的节点,挂起数据库的复制,安装完成,再恢复复制。 ? 邮箱服务器需要的准备条件稍微少一些。 ? 升级后端MBX数据库的时候,步骤也比较多。 ?...升级完成后,可以检查一下exchange的服务,控制台,powershell能否打开,一些服务器、IIS的配置有没有被更改。 从outlook客户端的连接状态可以看出,现在的版本已经为14.1了。...这种警报是不影响exchange正常的SP3的升级的,我们安装完FIX后,重启服务器,再继续进行SP3的安装。 升级后的版本。 ? 通过exchange powershell查看升级后的版本号。 ?...查看outlook连接的exchange版本号为14.3.224. ? 运行exchange的powershell命令,查看所有服务器的exchange的版本号,确保均已升级到了最新版本。
vbs脚本,也就能够获取脚本中保存的明文密码。...组策略首选项提权的实现 环境 环境是很重要的,组策略首选项功能是Windows 2008 Server引入的,并且08之后的版本都已经打过该漏洞的补丁,所以我选择的实验域控机器为server 2008...回到组策略管理,设置组策略的对象,添加Domain Computers到组策略组中: Domain Computers为加入到域中的所有工作站和服务器, 查看组策略对象test的详细信息: 可到该组策略对应的...\Get-GPPPassword.ps1;Get-GPPPassword 但在实验过程中,由于2008系统中powershell的版本问题,并未利用成功。...微软在2014年修复了组策略首选项提权漏洞,使用的方法就是不再将密码保存在组策略首选项中。
Exchange邮件服务器渗透测试 之前也有过一些学习:内网渗透系列:横向渗透方法小结 一、常用Windows远程连接和命令 1、IPC IPC(Internet Process Connection...(Win95及之后) 客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求 执行流程同样: 通过ipc$连接远程计算机 执行命令 1、通过本地DCOM执行命令 获取DCOM程序列表: //...每种资源分配了不同的SPN 1、SPN扫描 因为域环境中的每台服务器都需要在Kerberos身份验证服务中注册SPN,所以攻击者会直接向域控制器发送查询请求,获取其需要的服务的SPN,从而知晓其需要使用的服务资源在哪台机器上...、Exchange邮件服务器安全防范 电子邮件中可能包含大量的源码、企业内部通讯录、明文密码、敏感业务登陆地址及可以从外网访问内网的V**账号密码等信息 Exchange支持PowerShell对其进行本地或远程操作...(在安装Exchange时,SPN就被注册在AD中了) Exchange数据库的后缀为“.edb”,存储在Exchange服务器上,使用PowerShell可以查看相应信息 Exchange邮件的文件后缀为
在Exchange Server 2013中,服务器角色精简为三个,分别是邮箱服务器、客户端访问服务器和边缘传输服务器,其中邮箱服务器角色和客户端访问服务器角色通常被安装在同一台服务器中。...与Exchange交互的新的传输协议,于Exchange 2013 SP1和Outlook 2013 SP1中被提出。...SPN(Service Principal Name),是Kerberos认证中不可缺少的,每一个启用Kerberos认证的服务都拥有一个SPN,如文件共享服务的SPN为cifs/domain_name...1.利用自动发现服务进行暴力破解 Autodiscover自动发现服务使用Autodiscover.xml配置文件来对用户进行自动设置,获取该自动配置文件需要用户认证,如访问http://test2k12...该利用方法需要注意: 攻击者已拥有有效的邮箱用户凭证; 当触发动作为启动应用程序时,只能直接调用可执行程序,如启动一个exe程序,但无法为应用程序传递参数,即无法利用powershell执行一句话代码进行反弹
3、SPNs名称查询 SPN(Service Principal Name),是Kerberos认证中不可缺少的,每一个启用Kerberos认证的服务都拥有一个SPN,如文件共享服务的SPN为cifs/...(如 Exchange 服务器的IMAP/POP等部分服务默认是不启动的,但其SPN名称同样存在)。...Exchange 的负担 /owa “Outlook Web APP” Exchange owa 接口,用于通过web应用程序访问邮件、日历、任务和联系人等 /powershell 用于服务器管理的...该工具实现了将获取到的 Net-NTLM 哈希重放到真实 Exchange 服务器的 EWS 接口进行认证,通过 EWS 获取用户邮箱的邮件信息、附件下载、创建转发规则、查询GAL等。...该利用方法需要注意: 攻击者已拥有有效的邮箱用户凭证; 当触发动作为启动应用程序时,只能直接调用可执行程序,如启动一个exe程序,但无法为应用程序传递参数,即无法利用powershell执行一句话代码进行反弹
https://github.com/ElevenPaths/FOCA The Harvester:是一个社会工程学工具,它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email,子域名,...https://github.com/api0cradle/UltimateAppLockerByPassList Ruler:是一款能够通过MAPI/HTTP协议与Exchange服务器交互的工具。...https://github.com/SpiderLabs/Responder SessionGopher:是一个PowerShell工具,它使用WMI为远程访问工具(如WinSCP,PuTTY,SuperPuTTY...https://github.com/DanMcInerney/icebreaker WSUSpendu:该脚本是由法国研究人员开发的,有了它渗透测试人员可以自主创建恶意更新,并将其注入到WSUS服务器数据库中随意的分发这些恶意更新...https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1 Get-GPPPassword:检索通过组策略首选项推送的帐户的明文密码和其他信息
accounttraceid=c4c9a768-4a9f-42f8-b1e1-f8707574eeb9 防: 在用于管理GPO的计算机上安装KB2962486,以防止将新凭据置于组策略首选项中。...在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。对于内置帐户,SPN将自动进行注册。...域上获取信息 mimikatz log "sekurlsa::logonpasswords" 首先需要获得如下信息: /domain /sid /target:目标服务器的域名全称,此处为域控的全称 /...p=2398 活动目录数据库(NTDS.DIT) Active Directory域数据库存储在ntds.dit文件中(默认存储在c:WindowsNTDS中,AD数据库是Jet数据库引擎,它使用提供数据存储和索引服务的可扩展存储引擎...Ntdsutil中获取NTDS.DIT文件 Ntdsutil.exe是一个为Active Directory提供管理设施的命令行工具。
在后来的exchange 2013中服务器被精简为3个:邮箱服务器,客户端访问服务器,边缘传输服务器 exchange 2016和2019中则只有 邮箱服务器和边缘传输服务器了。...MAPI 于Exchange 2013 SP1和Outlook 2013 SP1中被提出的一种新的outlook与exchange交互传输协议。...在exchange server 2019 中,由于只细分了邮箱服务器和边缘传输服务器,所以开放了如OWA,ECP等接口的服务器即为邮箱服务器。...,减轻Exchange的负担 /owa/“Outlook Web APP” Exchange owa 接口,用于通过web应用程序访问邮件、日历、任务和联系人等 /powerShell/ 用于服务器管理的...但是,当触发动作为启动应用程序时,只能直接调用可执行程序,如启动一个exe程序,但无法为应用程序传递参数,想要直接上线,我们可以将EXE放到某共享目录下,或者直接上传到用户的机器。
其他用途包括识别可能具有包含凭证的数据库的SQL服务器,识别哪些机器可以连接RDP等等。我鼓励您在此深入了解它的深入功能。我还鼓励你看看GoFetc,它自动利用Bloodhound绘制的攻击计划。...4.PrivExchange PrivExchange是一种新技术(在过去一个月内),它利用了默认情况下Exchange服务器过度使用的事实。...它的工作原理是查询Exchange服务器,获取包含Exchange服务器凭据的响应,然后通过ntlmrelayx将响应中的凭据中继到域控制器,然后修改用户的权限,以便他们可以在域控制器上转储哈希值。...下载PowerSploit,并在您解压缩的目录中打开Powershell(确保您是管理员)。...用法:PowerShell.exe -ExecutionPolicy Bypass ./ADAPE.ps1
TriFive和Snugy后门本质上是PowerShell脚本,可以帮助攻击者访问被入侵的Exchange服务器,并使用不同的C2信道来进行通信。...我们现在还无法确定攻击者是否使用了这些PowerShell脚本中的任何一个来安装webshell,但是我们相信攻击者在日志记录事件之前就已经访问过这台Exchange服务器了。...TriFive通过登录合法用户的收件箱并从“已删除邮件”文件夹中的电子邮件草稿中获取PowerShell脚本,从而提供了对Exchange服务器的持久化后门访问。...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本将通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户...Snugy后门 我们在ResolutionHosts任务中看到的OfficeIntegrator.ps1文件是一个基于PowerShell的后门,我们将其称之为Snugy,它将允许攻击者获取目标系统的主机名并执行命令
在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。...由于用户已经选择了密码,因此绑定到域用户帐户而不是计算机帐户的服务更可能被配置为弱密码,而对用户有规范名称的服务应该会成为Kerberoasting攻击的针对目标。...这些脚本是PowerShell AD Recon存储库的一部分,可以在Active Directory中查询服务,例如Exchange,Microsoft SQL,Terminal等。...还可以使用PSMSExchangeServers脚本来查找Microsoft Exchange服务器。...这里我再告诉大家一个脚本,可以为我们获取UserSID,服务和实际用户。 Import-Module .\Get-DomainSpn.psm1 Get-DomainSpn ?
Office Web Apps,相信大家都不陌生,那么如何让SharePoint文档库中的Office文档使用Office Web Apps打开呢? 如文档预览: ? 在线查看: ? 在线编辑: ?...Pack 1 .NET Framework 4.5 Windows PowerShell 3.0 KB2592525 以管理员身份打开 Windows PowerShell 提示符,然后运行以下示例命令来安装必需的角色和服务...服务器场中的所有服务器上都必须已安装语言包。...您可以在规划 Office Web Apps(与 SharePoint 2013 一起使用)中查找有关如何获取允许用户使用 Office Web Apps Server 编辑文件的许可证的其他信息。...在创建服务器场后,将在 Windows PowerShell 提示符中显示有关服务器场的详细信息。
在Exchange日常管理中,我们可能经常会遇到这样的问题,就是怎么来知道一个用户最后的登录时间?这个问题在使用Exchange powershell就能很好的解决了。...用管理员身份运行Exchange management powershell ?...查看某一个邮箱数据库的统计信息,输入Get-MailboxStatistics -database'mailboxdatabase' ?...查询某台邮箱角色服务器上的用户登录时间。...Exchange的Powershell能做出很多很多EMC中无法做到的管理操作,管理上非常的强大。
9.0版本内置122个功能模块,外部模块20个,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息...Ladon里90%的探测模块,如SmbInfo、NbtInfo、MS17010等模块,那些对一台机器仅仅发1-3个小包而已,别说探测一台机器,就是扫整个C段,也比你Nmap默认扫一台机器的1000个端口或全端口扫描的流量要小很多倍...,甚至f=1完成一个包后再下一个发包,这和手工一个一个来差不多更安全的探测。...Administrator 激活用户Guest 远程桌面会话劫持 0x012 远程下载 Http文件下载 FTP文件下载 0x013 域(DC、LDAP) 域内机器信息获取(域内) 389端口LDAP...基础信息(含wmi获取) 获取命令行参数 获取进程详细信息 查看IE代理信息 查看本机命名管道 查看3389远程连接 查看USB使用记录 查看管理员组用户 查看最近访问文件 查看安装.NET版本 查看PowerShell
对于初学者,它已成为 Exchange Server 2007 基于脚本管理的基础。...为以原有格式充分利用 Windows PowerShell,您需要记住大量语法、cmdlet 和通用结构, 有个工具可以用来查看PowerShell cmdlets的帮助信息。...此脚本编辑器提供了类似 IntelliSense 的基本环境,它显示了可用 cmdlet 的语法以及标准文件和编辑功能(如搜索和替换、打印以及剪切/复制/粘贴)。还可针对步骤创建书签。...另一个不错的功能是能在脚本之间添加链接,从而可通过公共元素连接各脚本以获取所需信息。例如,可获取特定组的用户列表,然后将此列表链接到显示其主目录中数据量的脚本。...您还可以找到用于 Active Directory 管理、Exchange 服务器管理、Microsoft Operations Manager 任务、常见 Windows Server 任务等的脚本和操作
漏洞详情 在此次公告中披露了以下漏洞: CVE-2021-26855: 为Exchange中的一个服务器端请求伪造(SSRF)漏洞,它使攻击者能够发送任意HTTP请求并通过Exchange Server...CVE-2021-26857: 为统一消息服务中的反序列化漏洞。不安全的反序列化是不可信的用户可控制数据被程序反序列化的地方。...CVE-2021-26858及CVE-2021-27065: 为Exchange中身份验证后的任意文件写入漏洞。...如果攻击者可以通过Exchange服务器的身份验证,则他们可以使用此漏洞将文件写入服务器上的任何路径。...检测“是否受到攻击” 1.可以通过以下Exchange HttpProxy日志检测CVE-2021-26855利用: 这些日志位于以下目录中:%PROGRAMFILES%\Microsoft\Exchange
(根据实际的需求) Windows常用的提权方法有: 系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、窃取令牌提权、bypassuac提权,第三方软件/服务提权,WEB中间件漏洞提权等...,网络管理员会使用域策略进行统一的配置和管理,那么所有机器的本地管理员密码就是一样的,造成了即使不知道密码的情况下也能修改组策略首选项的密码,也可以通过脚本破解组策略首选项文件中密码的漏洞。...利用手法: #Powershell获取cpassword Get-GPPPassword.ps1 #PowerSploit 的 Get-GPPPassword模块 检索通过组策略首选项推送的帐户的明文密码和其他信息...MSSQL提权: 启用xp_cmdshell(高权限用户) #先获取高权限的数据库用户(sysadmin) 查找网站源码数据库链接文件(web.config /conn.asp/aspx config.asp...或者收集到密码....等手段登入数据库,mssql可以外网登录 select IS_SRVROLEMEMBER('sysadmin')#查询是否为sysadmin用户,sysadmin执行命令继承了数据库的权限
领取专属 10元无门槛券
手把手带您无忧上云