这可以通过向目标用户的邮箱添加规则来实现,该规则将电子邮件转发到攻击者控制的收件箱,或者将邮箱的访问权委托给他们的Exchange帐户。...收件箱权限 这时我们添加目标帐户以拥有邮箱的权限。这是检索帐户的SID(安全标识符,是标识用户、组和计算机帐户的唯一的号码)的必要条件 ? 3....推送订阅脚本配置 执行脚本将尝试通过EWS(Exchange Web服务)将pushSubscribe请求发送到Exchange。...打开另一个邮箱 - 没有权限 有一个利用相同漏洞的Python脚本,但是不添加转发的规则,而是为该账户分配权限,以访问域中的任何邮箱(包括管理员)该脚本需要有效的凭据,Exchange服务器的ip地址和目标电子邮件...权限提升脚本 - 委派完成 只有通过Outlook Web Access的身份验证之后,才可以查看委派邮箱 ?
这可以通过向目标用户的邮箱添加规则来实现,该规则将电子邮件转发到攻击者控制的收件箱,或者将邮箱的访问权委托给他们的Exchange帐户。...python serverHTTP_relayNTLM.py ? 中继服务器 该Exch_EWS_pushSubscribe.py要求域凭据和妥协帐户的域和中继服务器的IP地址。 ?...推送订阅脚本配置 执行python脚本将尝试通过EWS(Exchange Web服务)将pushSubscribe请求发送到Exchange。...电子邮件自动转发 已通过使用NTLM中继对Exchange进行身份验证,为目标帐户创建了一条规则,该规则将所有电子邮件转发到另一个收件箱。这可以通过检查目标帐户的收件箱规则来验证。 ?...打开另一个邮箱 - 没有权限 有一个python 脚本利用相同的漏洞,但不是添加转发规则,而是为帐户分配权限以访问域中的任何邮箱,包括域管理员。
与Exchange交互的新的传输协议,于Exchange 2013 SP1和Outlook 2013 SP1中被提出。...除此之外,有时候通过其他一些方法同样可以帮助探测确认Exchange服务,如发现OWA、EWS接口、自动发现服务、DNS域名记录等等,Exchange是一个庞大复杂的组件服务,各种配置信息和公开服务都可以帮助我们进行信息收集...4.查找存在缺陷的用户邮箱权限委派 邮箱用户可以通过Outlook设置自己邮箱各个文件夹的权限,通过权限设置可以委派给其他用户访问邮箱文件夹的权限,默认情况下存在两条访问规则,分别是默认规则和匿名规则...,使用Invoke-SelfSearch时需要添加-OtherUserMailbox选项参数,该选项表示通过权限委派缺陷检索非当前用户邮箱数据。...ExchangeRelayx由python实现,依赖安装完成并启动后,会启动SMB服务和2个HTTP服务,SMB服务和监听在80端口的HTTP服务用于接收受害者主机发送的认证,监听在8000端口的HTTP
一、攻击域Exchange Server/管理员 前提条件 1.Exchange服务器可以是任何版本(包括为PrivExchange修补的版本)。...比如为攻击者帐户授予DCSync权限。 5.如果在可信但完全不同的AD林中有用户, 同样可以在域中执行完全相同的攻击。...通过secretsdump dump出所有密码哈希值: 我们也可以通过直接通过ldaps来添加机器用户来达到配置委派。这个需要域控制器添加到ldaps的证书才能连接ldaps。...首先使用OpenSSL,创建新的私钥和根证书。...参数了,等下会通过连接ldaps来添加机器用户,并且设置委派来进行攻击。
下图演示了威胁参与者实施的真实世界攻击,目的是通过滥用 Exchange 服务、Exchange API 和标准 Outlook 功能来实现完全的域入侵。...: Outlook Web 访问 (OWA) 交换网络服务 (EWS) Exchange ActiveSync (EAS) 所有这些服务都创建了一个攻击面,威胁参与者可以通过进行可能导致发现合法凭据、访问用户邮箱和执行域升级的攻击而受益...此操作将阻止攻击的实施,使威胁参与者能够将转发规则添加到目标邮箱或将受感染的帐户添加为委托人。影响是检索电子邮件和冒充用户,这将允许内部网络钓鱼攻击。...Benjamin Delpy在 Twitter 上提出了一种通过将MaxSubscriptions设置为零来缓解漏洞的替代方法。此设置将阻止 Exchange 发送任何 EWS 通知。...或者,如果需要身份验证,可以将 Microsoft Exchange 配置为拒绝所有域帐户的传入 NTLM 流量。
的函数允许你通过一个请求就可以取回整个GAL,遗憾的是该功能仅在Exchange 2013版中实现,在测试中利用FindPeople函数的Get-GlobalAddressList能够在10秒钟内从远程...会回退到从Exchange Web服务枚举GAL,由于EWS一次只允许你搜索100个结果,这种方法可能会花费更长的时间,为了绕过这个限制,我基本上通过ZZ搜索AA,然后对结果进行sort/uniq,如果要使用它...,而是对多个用户帐户尝试一个密码,这有助于避免帐户锁定并且仍然会导致我们获得有效的凭据,因为用户仍然会选择像"Fall2016"这样的密码,在使用脚本时我们只需传递-Threads选项并指定线程数量(15...\userlist.txt -Password Fall2016 -Threads 15 -OutFile ews-sprayed-creds.txt 在上面的测试中,我注意到EWS密码喷涂方法明显更快...,Invoke-PasswordSprayOWA和使用15个线程的Burp Intruder都用了大约1小时45分钟来完成对10,000个用户的喷涂,而向EWS喷洒同样的用户名单只用了9分28秒
2、通过 Exchange Web Service(EWS) 通过EWS接口,可以实现客户端与服务端之间基于HTTP的SOAP交互。很多针对 Exchange 的二次开发,都是基于该端口进行开发。...3、通过Outlook客户端使用的协议 Outlook客户端通常使用的协议为RPC、RPC over HTTP(也称作Outlook Anywhere)和MAPI over HTTP。...ExchangeRelayx 由 python 实现,依赖安装完成并启动后,会启动 SMB 服务和 2 个HTTP 服务,SMB 服务和监听在 80 端口的 HTTP 服务用于接收受害者主机发送的认证,...该工具实现了将获取到的 Net-NTLM 哈希重放到真实 Exchange 服务器的 EWS 接口进行认证,通过 EWS 获取用户邮箱的邮件信息、附件下载、创建转发规则、查询GAL等。...主要利用可以参考 CVE-2018-8581,可以通过 ews 接口实现以上操作。 首先在目标用户文件夹添加指定用户权限。 在指定用户文件夹下添加共享文件用户。
EWS接口 本文将介绍的是Exchange的EWS接口,URI为exchange.com/ews/exchange.asmx,相关介绍可以参考:https://docs.microsoft.com/en-us...,以Proxyshell触发点为例: GET /autodiscover/autodiscover.json?...因此这里通过指定serializedsecuritycontext header头,成功的获取到了我想要的东西: 那这里思路也很明确了,和Proxylogon漏洞一样,先获取LegacyDN,再获取sid...ceshi@exchange.com support@exchange.com 运行程序: python Exchange_SSRF_Attacks.py --target mail.exchange.com...一样的接口,只是多了个认证,少了个header头: 后续 本文介绍了EWS接口的一些利用,包括不限于利用SSRF漏洞和认证后的调用。
在后来的exchange 2013中服务器被精简为3个:邮箱服务器,客户端访问服务器,边缘传输服务器 exchange 2016和2019中则只有 邮箱服务器和边缘传输服务器了。...MAPI 于Exchange 2013 SP1和Outlook 2013 SP1中被提出的一种新的outlook与exchange交互传输协议。...EAS Exchange ActiveSync是一种允许用户通过移动设备或其他便携式设备访问和管理邮件、联系人、日历等Exchange功能的同步协议,在Windows上使用时其进程名称为wcesomm.exe...,减轻Exchange的负担 /owa/“Outlook Web APP” Exchange owa 接口,用于通过web应用程序访问邮件、日历、任务和联系人等 /powerShell/ 用于服务器管理的...@123456 查找存在缺陷的用户邮箱权限委派 一个用户的文件夹是可以给其他用户权限的。
--->Microsoft Exchange的内部部署--->组织配置--->集线器传输--->右键“新建发送连接器” 输入连接器名称,点击“下一步”按钮 选择“添加”菜单,点击“SMTP...(Exchange WebService)发送邮件 EWS的地址:https://mail.adserv.com/ews/Services.asmx 或者:https://mail.adserv.com.../ews/exchange.asmx 通过浏览器访问: 输入用户名,密码登录 新建一个Web Application项目,添加Web引用:https://192.168.206.103...登录Web版Exchange,查看是否收到邮件 至此,用EWS发送邮件也成功!.../dd877030(v=exchg.140).aspx 故障排除 问题描述:在最初安装配置完成后,能正常访问Exchange的Web页面,但是输入用户名和密码怎么也登录不成功,
6月18日,发现此文件通过SMB协议从内部帐户传输到另一个系统。之后,一个名为otc.dll的文件被以同样的方式传输。...基于电子邮件的C2通信功能依赖于Exchange Web服务(EWS),攻击者通过Exchange服务器上的合法帐户与Hisoka通信。同时,Hisoka恶意软件和攻击者通过创建电子邮件草稿交换数据。...为了启用基于电子邮件的C2通道,攻击者执行命令:–E EWS,并提供如下数据: ;;exchange server>;exchange版本...初始电子邮件草稿包含主题“present”,邮件正文为空,在“to”字段中有一个电子邮件地址,该地址的标识符是目标系统的唯一标识符(在我们的测试中为“abcdef”)。...图2显示了Hisoka通过OutlookWeb登录帐户查看初始草稿电子邮件。 ?
/get-started-with-ews-client-applications#create-your-first-ews-application 给其他用户添加Rule规则 通过之前的抓包我们发现...权衡了一下工作量,还是用go语言重写relayNTLM更容易一些,通过NTLM认证之后给其他用户添加规则。...用python进行长连接请求用的是 http.client 包当中的 HTTPSConnection 和 HTTPConnection 类。通过这两个类生成长连接发送POST和GET请求。...攻击效果展示 攻击的过程是通过python脚本让Exchange服务器发送push_subscription请求,同时用golang脚本在本机启动中继服务器,监听端口获得HTTP请求的headers,中继服务器会将请求重新转发到...Exchange服务器上,实现任意账户规则的添加。
创建一台新计算机并修改委派权限,以便新的“计算机”可以通过msDS-AllowedToActOnBehalfOfOtherIdentity属性模拟LABWIN10(受害者)上的任何用户。...接下来我们要做的是创建一个新的计算机帐户,并修改域控制器上的属性,以允许新的计算机帐户冒充域控制器上的任何人,这一切都要归功于msDS-allowedToActOnBehalfOfOtherIdentity...我们可以创建一个新的计算机帐户,因为默认情况下,用户最多可以创建10个计算机帐户。powermad有它的功能。...返回的服务对象添加dacl字段 Set-ServiceBinPath - 通过win32 api方法将服务的二进制路径设置为指定值 Test-ServiceDaclPermission...该脚本将执行以下操作: •通过WPAD,LLMNR和NBT-NS欺骗收集哈希值 •检查GPP密码(MS14-025) •通过Kerberoast为帐户收集哈希值 •绘制域并通过BloodHound识别目标
最近遇到一个需求,公司某业务部门需要让本部门一部分员工不能通过公网使用Exchange邮件系统。...我们把这部分用户添加到一个安全组中,然后通过IIS授权规则来对OWA、RPC(目的限制outlook anywhere)、EWS(目的限制mac的邮件访问)目录访问进行限制,然后在内网重新部署一台CAS...该方案很快通过,那么开始实施。本环境使用的是Windows 2008 R2+Exchange 2010。如果使用Exchange 2013环境方法类似。...1、首先在服务器管理器中为IIS添加URL授权功能,如下图勾选。 ? 2、确认信息后开始安装。 ? 3、完成安装后,打开IIS管理器,选择OWA虚拟目录,然后双击授权规则 ?...通过上述配置和测试,Exchange已经完全能够阻止部分用户外网访问邮箱了,因为EWS目录被阻止,所以还需要内网搭建一台前端服务器,否则这部分用户无法访问日历忙闲状态。
近日,Mandiant 安全研究人员发现一个新的、异常隐蔽的高级持续性威胁(APT)组织正在入侵企业网络,并试图窃取参与企业交易(如并购)员工的 Exchange(内部和在线)电子邮件。...Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。...另外,UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上,部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发),以保持长期攻击。...QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。...在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft
攻击者可以通过多种方式获得必要的哈希,例如DC Sync攻击,Kerberoasting,甚至可以通过Powermad使用SPN创建新的计算机帐户。...这不需要Elad Shamir和Will Schroeder所述的域管理员特权。 Service1配置为执行对Service2的约束委派。...在这种情况下,我们将使用Impacket的secretsdump.py程序来获取Service1机器帐户的AES256-CTS-HMAC-SHA1-96和LM:NTLM哈希。 命令: python。...目标User2帐户可以保留其配置为“受保护的用户”成员的身份,或使用“帐户敏感且无法委派”属性来保持其配置。 首先,删除Service1的委派权限。...与我们之前的示例不同,此攻击不会利用Service1和Service2之间的任何委派信任关系。在将Service1配置为“不信任此计算机进行委派”之后,此信任关系不再存在。
章节点 IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,NTLM-Relay,Kerberos_TGS...redteam.red 靶场 委派攻击分类: 1、非约束性委派 2、约束性委派 3、基于资源的约束性委派 关于约束委派与非约束委派 委派(Delegation)是指将用户或计算机帐户的权限授予其他用户或计算机帐户...非约束委派(Unconstrained Delegation)是指将用户或计算机帐户的所有权限都授予另一个用户或计算机帐户,并且该帐户可以将权限继续委派下去,这样可以导致安全隐患。...意思就是被域控进行非约束委派的域成员主机获得全部权限,并且该可以同样的可以进非约束委派至其他域成员主机 约束委派(Constrained Delegation)是指将用户或计算机帐户的部分权限授予另一个用户或计算机帐户...,并限制该帐户只能将授权限委派给特定的服务。
如果将 SPN 添加到bob就能成功从 KDC申请ST票据,这意味着这不是用户帐户本身的问题,而只是 KDC 无法选择正确密钥进行解密。...所以可以利用web2008创建域机器(此处为evilpc),并通过writelproperty设置evilpc到其的基于资源的约束委派。...Ntlmrelayx.py绕过NTLM MIC,通过SMB relay 到LADP,因为域控并不在Exchange Windows Permissions这个组里面,所以也写不 了ACL,不能给指定用户添加...Dcsync的权限;但是它能创建新的计算机账户,并且设置该机器账户对辅助域控自身的约束委派。...实现目的的一种方法是使用攻击主机的内部netbios名称(无句 点)或者利用dnstool.py 为攻击者添加dns来完成。3.必须禁用 LDAP 签名/通道绑定(默认设置)。
CVE-2021-26855:服务端请求伪造漏洞 攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。...CVE-2021-26858/CVE-2021-27065:任意文件写入漏洞 攻击者通过Exchange服务器进行身份验证后,可以将文件写入服务器上的任何路径。...Server 利用姿势:使用中继的LDAP身份验证,为攻击者帐户授予DCSync权限。...攻击者帐户使用DCSync转储AD中的所有密码哈希值。...攻击脚本: https://github.com/Ridter/CVE-2019-1040 利用方式二:攻击域控服务器 利用姿势:使用中继的LDAP身份验证,将目标服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户
AdFind.exe -default -f "(&(adminCount=1)(objectClass=user))" -dn #枚举配置为无约束委派的所有服务器(不包括DC) AdFind.exe...在域中,可以通过PowerView脚本来搜索开启了委派的主机和用户,查询非约束委派主要是通过搜索userAccountControl属性包含ADS_UF_TRUSTED_FOR_DELEGATION的主机或账户...1.非约束委派 通过Import-Module PowerView.ps1加载PowerView脚本之后使用下面的命令进行查询。...注:添加组策略后,需要等待用户重新登录并输入凭据后才能生效,例如锁屏、注销或重启等。...手法: 通过修改注册表的方式添加组策略 reg add hklm\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v AllowDefaultCredentials
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
