文章目录
- 章内容
-
- 什么是Exchange Server
- 域横向移动-内网服务-Exchange探针
-
- 1、端口扫描
- 2、SPN扫描
- 3、脚本探针还可以探针是否有安全漏洞)
- 域横向移动-内网服务-Exchange爆破
-
- 手工与项目
- 收集域内相关信息
- Intruder进行Exchange服务爆破
- 域横向移动-内网服务-Exchange漏洞
-
- 攻击流程-图解
- # CVE-2020-17144 Exchange RCE
- CVE-2020-0688反序列化漏洞)
- 参考
章内容
IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Kerberos_TGS,GPO&DACL,域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。
什么是Exchange Server
Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。 简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。
实验靶场环境:0day.org单域环境
Win7 x64 0day.org PC-Jack 访问域主机地址
这里上线PC-Jack主机添加一张虚拟网卡连接公网),MS14-058(CVE-2014-4113)提权一下,进行下一步信息收集
域横向移动-内网服务-Exchange探针
1、端口扫描
exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务,所以可以通过一些端口特征来定位exchange。
2、SPN扫描
powershell setspn -T 0day.org -q /
3、脚本探针还可以探针是否有安全漏洞)
python Exchange_GetVersion_MatchVul.py xx.xx.xx.xx
域横向移动-内网服务-Exchange爆破
手工与项目
1、Burp+Proxifier
2、项目
https://github.com/grayddq/EBurst
https://github.com/lazaars/MailSniper
这里我使用Burp、内置浏览器和Proxifier进行爆破
收集域内相关信息
Intruder进行Exchange服务爆破
使用已知账号 0day\jack admin!@#45抓登陆包建议使用firefox 或Burp内置浏览器)
设置变量位置 用于爆破用户名
返回响应长度不同 并且返回内容设置了cookie ,爆破成功这些exchange用户名密码都为admin!@#45
成功登陆
当然这只是关于Exchange邮箱的利用,接下来可以进行邮件钓鱼之类的攻击,但是并不能直接进行横向移动
域横向移动-内网服务-Exchange漏洞
攻击流程-图解
确定内核版本-筛选Server版本-确定漏洞对应关系-选择漏洞进行漏洞
微软官方找符合利用条件的漏洞
https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
确定是exchange server2010版本,筛选可用漏洞
# CVE-2020-17144 Exchange RCE
前提:普通用户
影响版本:Microsoft Exchange Server 2010
CVE-2020-17144-EXP.exe mail.example.com user pass
示例:
CVE-2020-17144.exe 192.168.3.142 jack admin!@#45
项目可以通过github下载,自己编译的时候自定义后门内容,上传后门成功后连接后门直接横向移动到Exchange服务器上,也就是域控服务器
无权访问?使用了代理转发,可能域控在某方面有限制)
在jack-pc上可以进行访问连接
CVE-2020-0688反序列化漏洞)
可以利用该漏洞进行命令执行,文件下载进行上线
……
参考
https://www.cnblogs.com/xiaozi/p/14481595.html
查看全文
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dgrt.cn/a/2112385.html
如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!
相关文章:
【内网安全】横向移动Exchange服务有账户CVE漏洞无账户口令爆破
文章目录章内容什么是Exchange Server域横向移动-内网服务-Exchange探针1、端口扫描2、SPN扫描3、脚本探针还可以探针是否有安全漏洞)域横向移动-内网服务-Exchange爆破手工与项目收集域内相关信息Intruder进行Exchange服务爆破域横向移动-内网服务-Exchange漏洞攻击流程-图解……
20分钟快速入门Gradle
文章目录一、初识Gradle1.1 什么是Gradle1.2 Gradle和Maven的异同二、Gradle常用命令三、Wrapper 包装器3.1 什么是Wrapper 包装器3.2 Wrapper 包装器怎么使用一、初识Gradle
1.1 什么是Gradle
Gradle是一种自动化构建工具,用于编译、测试、打包和部署应用程序。它……
maven的安装配置 自学记录)
操作系统:windows10
jdk版本:1.8
maven版本:3.5.0
1.maven 的安装与配置
1.安装jdk1.8我一直用的是1.8 所以不用再安装了)
2.下载Apache maven maven 官网) 3.将maven3.5.0 解压出来 并且复制路径例如: D:\biancheng\apache-maven-3.5.0\bin )
4.在环境变量中添加M……
servlet 生命周期面试知识储备)
servlet生命周期:指的是servlet从创建到销毁的整个过程.
servlet通过init)方法进行初始化.
servlet通过service)方法来处理客户端的请求.
servlet通过调用destroy)方法终止结束).
servlet生命周期方法详细介绍:
init)方法:
init)方法是初始化方法,servlet在调用的时……
java MVC面试知识储备)
MVC的概念: mvc模式并不是javaweb项目中独有的,他是软件工程中的一种软件架构模式, 把软件分为三个基本部分:模型model) 视图view) 控制器controller), MVC. 它是一种软件设计典范,最早Trygve Reenskaug提出,为施乐帕罗奥多研究中心(Xerox PARC&……
java三大集合框架面试知识储备精华篇)
java三大集合框架 : set list map 如上图 set list 都属于collection的子接口collection为顶层接口) Map 不属于collection接口
Set接口:
无序可变的数组,不允许添加重复元素,如果视图把两个相同的元素加入到同一个集合中,add方法返回false.
set判断对象是否相同使用……
px换算成rem—-非常简洁实用,另外附上详细代码解释。
源码(公司老哥写的。):
最终可实现:例如宽 20px 的图,就可以写成 0.2rem ; 公式为20px/1000.2rem;
var rootResizefunction){var baseFontSize 100;var baseWidth 640;var minWidth320;var……
自我介绍 DOM BOM ECMAScript
他们都是什么? DOM:
文档对象模型Document Object Model) 缩写为 DOM ,
DOM是W3C(万维网联盟)标准。
DOM定义了访问文档的标准:
“W3C文档对象模型(DOM)是一个平台和语言中立的接口,允许程……
《 vue 》图片批量预加载
/*
* 单独创建个js 并引用自动加载 资源预加载 20200329
*/
function){let images [require../assets/img/again.png),require../assets/img/answerBg.png),require../assets/img/answerFloor.png),require../assets/img/cheer.png),require../assets/img/circular.……
egret MP3加载失败 egret 加载音频报错 白鹭引擎无法加载音频
egret MP3加载失败 egret 加载音频报错 白鹭引擎无法加载音频
目的:记录白鹭引擎的 MP3加载失败规律:所有MP3文件都无法正常加载。 chorme(不正常)| 火狐(正常)| 微信(正常)。
报错……
cocos-lua游戏中横屏,竖屏动态切换
1、转载自 https://blog.csdn.net/oJianYue12/article/details/80927700
2、注意点: AndroidManifest.xml文件中的配置 android:configChanges"orientation|screenSize";android:screenOrientation"sensorLandscape"
这两个配置需要根据自……
lua require机制
https://www.cnblogs.com/softidea/p/5242941.html…
lua程序设计(一)
一、lua的概述 1.简单易学 2.比较灵活,数据结构只有表一种
二、 1、变量命名规范:建议遵循驼峰规则;区分大小写(注意变量命名);避免下划线开头并紧接着一个大写字母(可能与lua中对 应的全局变量……
cocos2d-3.10 整合版本连接
官方给出的是在:http://www.cocos2d-x.org/filedown/CocosForWin-v3.10.exe 如果下载不了,可以在这里下http://cdn.cocos2d-x.org/CocosForWin-v3.10.exe…
code=45, title=禁止登录, message=登录失败,建议升级最新版本后重试,或通过问题反馈与我们联系。
如果你是采用 java 开发的,你可以参考本文章,java 和 kotlin 都是可以相互转换的。 在解决之前,先说明环境: JDK版本:java version "17.0.3.1" 【Oracle JDK】 Kotlin版本:1.8.20 采取simbot核心包开发&am……
cocos2d屏幕适配方案以及winsize,framesize,VisibleSize,contentSize的区别和联系
一、首先要吐槽小cocos官方把这个问题描述的很模糊,讲解的不清不楚,很多人工作两三年的人也不明白。
二、言归正传:阐述下winsize,framesize,VisibleSize,contentSize的概念。frameSize表示的是屏幕的分辨率, 这里多说……
lua协程详解
https://www.cnblogs.com/zrtqsk/p/4374360.html…
lua协程实例
一、lua协程的和c中协程的区分 1. lua 程序设计中的关于lua多线程以及协程的概述 上述说的意思我认为就是 lua的协程类似于但是不等同于真正意义的多线程(同时执行一些操作);我做过测试,同时创建1000个协程并执行(代码……
cocos内存管理原理详解
转载自:COCOS学习笔记–Cocod2dx内存管理三)-Coco2d-x内存运行原理_RapdoZoroの博客-CSDN博客_cocos2dx引擎内存管理工具
一、cocos2dx之如何优化内存使用(高级篇)_yixiao3660的专栏-CSDN博客
cocos2d中对于图片动画加载缓存的使用 – 简书……
cocos creator实战项目记录一)
creator(一下简称ccc)貌似从16年发布到现在已经有五年了,当时我还是游戏开发菜鸟,不过当时我已经在从事cocos-js的工作,所以对ccc的发布还是比较关注。不过后来,阴差阳错的一直没有干ccc相关的项目……
编程日记2023/4/16 15:00:48