内网安全:Exchange服务

目录

Exchange服务

实验环境

域横向移动-内网服务-Exchange探针

一. 端口扫描

二. SPN扫描

三. 脚本探针(还可以探针是否有安全漏洞)

域横向移动-内网服务-Exchange爆破

一 .BurpSuite Intruder模块爆破

域横向移动-内网服务-Exchange漏洞

CVE-2020-17144 Exchange RCE


Exchange服务

Exchange是一种由Microsoft开发的邮件服务器和协作平台。它提供了一系列功能和服务,用于管理电子邮件、日历、联系人、任务等信息,以及实现团队协作和共享资源。

Exchange服务器的主要功能包括:

  1. 电子邮件服务:Exchange提供了强大的电子邮件功能,支持发送、接收、存储和管理电子邮件。它支持标准的邮件协议(如SMTP、POP3、IMAP)和安全的邮件传输。

  2. 日历和会议管理:Exchange的日历功能使用户可以创建、共享和管理日程安排,安排会议和发送会议邀请。它还支持资源预订,如会议室和设备的预订。

  3. 联系人和地址簿:Exchange提供了集中管理和共享联系人信息的功能。用户可以创建个人联系人,并与其他用户共享联系人列表。此外,Exchange还提供全局地址簿,用于查找组织内的其他用户。

  4. 任务管理:Exchange允许用户创建和跟踪任务,设置优先级和截止日期,并与其他用户进行任务分配和共享。

  5. 共享文件和资源:Exchange提供了公共文件夹和共享邮箱的功能,允许团队成员共享文件、文档和电子邮件。

  6. 移动设备支持:Exchange支持移动设备访问,使用户可以通过手机、平板电脑等移动设备访问和管理邮件、日历和联系人。

实验环境

访问主机地址,网页

电脑上的应用版 

一般这种邮箱服务,其账号密码和域用户的账号密码是一样的。

可以提供邮箱向域内所有用户发邮件

域横向移动-内网服务-Exchange探针

一. 端口扫描

exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务,所以可以通过一些端口特征来定位exchange。

使用CS端口扫描25/587/2525

二. SPN扫描

CS上调用SPN进行扫描,探针内网的服务

shell powershell setspn -T 0day.org -q /

三. 脚本探针(还可以探针是否有安全漏洞)

扫出来的CVE漏洞并不是说一定存在,只是这个版本上爆出过漏洞,可以尝试利用

python Exchange_GetVersion_MatchVul.py 192.168.3.142

域横向移动-内网服务-Exchange爆破

要先收集一下域内的用户名,看考这篇文章的一些命令

net use /domain

CS执行

CS收集主机明文密码

一 .BurpSuite Intruder模块爆破

使用已知账号 0day\jack admin!@#45抓登陆包

爆破账户的时候要注意是 0day\jack  域+用户

返回响应长度不同 并且返回内容设置了cookie ,爆破成功这些exchange用户名密码都为admin!@#45

成功登录,需要配置代理,内网环境

当然这只是关于Exchange邮箱的利用,接下来可以进行邮件钓鱼之类的攻击,但是并不能直接进行横向移动

域横向移动-内网服务-Exchange漏洞

根据上面的脚本确定Exchange的版本

微软官方找符合利用条件的漏洞
Exchange Server build numbers and release dates | Microsoft Learn

也可以根据脚本给出的可能漏洞进行测试,但是脚本有个缺点,早期的一些漏洞并没有收录

到网上走相关的EXP进行测试,就是成功率比较低

CVE-2020-17144 Exchange RCE

本地攻击机挂代理进行测试

前提:普通用户
影响版本:Microsoft Exchange Server 2010

CVE-2020-17144.exe 192.168.3.142 jack admin!@#45

项目可以通过github下载,自己编译的时候自定义后门内容,上传后门成功后连接后门直接横向移动到Exchange服务器上,也就是域控服务器

这个无法提供代理进行访问,需要在在jack-pc上可以进行访问连接

内网攻防在Exchange上的利用还是比较简单的

邮件服务不一定是在域控上,个人感觉配合钓鱼更好。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/355226.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

嵌入式Linux系统下的智能家居能源管理系统的设计与实现

大家好,今天给大家介绍嵌入式Linux系统下的智能家居能源管理系统的设计与实现,文章末尾附有分享大家一个资料包,差不多150多G。里面学习内容、面经、项目都比较新也比较全!可进群免费领取。 随着物联网技术的不断发展,…

19. 删除链表的倒数第 N 个结点(力扣LeetCode)

文章目录 19. 删除链表的倒数第 N 个结点题目描述将删除倒数第n个节点转化为删除第n个节点双指针 19. 删除链表的倒数第 N 个结点 题目描述 给你一个链表,删除链表的倒数第 n 个结点,并且返回链表的头结点。 示例 1: 输入:hea…

(28)Linux 信号保存 信号处理 不可重入函数

首先介绍几个新的概念: 信号递达(Delivery):实际执行信号的处理动作。信号未决(Pending):信号从产生到递达之间的状态。信号阻塞(Block):被阻塞的信号产生时将保持在未决状态,直达解除对该信号的阻塞,才执…

鸿蒙(HarmonyOS)项目方舟框架(ArkUI)之CheckboxGroup组件

鸿蒙(HarmonyOS)项目方舟框架(ArkUI)之CheckboxGroup组件 一、操作环境 操作系统: Windows 10 专业版、IDE:DevEco Studio 3.1、SDK:HarmonyOS 3.1 二、CheckboxGroup组件 提供多选框组件,通常用于某选项的打开或关…

【Vue实用功能】Vue实现文档在线预览功能,在线预览PDF、Word等office文件

1、Office Web(微软的开发接口) 优点 没有 Office也可以直接查看Office 文件适用于移动端、PC无需下载文件就可以在浏览器中查看 <iframe src"文档地址" frameborder"0" /> const docUrl 外网可预览的地址 const url encodeURIComponent(docUrl…

python零散学习

__name__和__main__关系 python函数入口 每个模块都有一个 __name__ 属性&#xff0c;当其值是 __main__ 时&#xff0c;表明该模块自身在运行&#xff08;此时__name____main__&#xff09;&#xff0c;否则是被引入&#xff08;此时__name__自身的模块名称&#xff09;。 变…

深度强化学习(王树森)笔记06

深度强化学习&#xff08;DRL&#xff09; 本文是学习笔记&#xff0c;如有侵权&#xff0c;请联系删除。本文在ChatGPT辅助下完成。 参考链接 Deep Reinforcement Learning官方链接&#xff1a;https://github.com/wangshusen/DRL 源代码链接&#xff1a;https://github.c…

SpringBoot整合Quartz任务,java对任务创建、删除、修改、查询

SpringBoot整合Quartz定时任务 1、定时任务相关概念2、SpringBoot集成Quartz2.1、Quartz相关表2.2、pom.xml2.3、application.yml2.4、java对任务增删改查2.4.1、common相关配置类2.4.2、pojo类2.4.3、task类2.4.4、Controller类 3、一些理解3.1、Quartz的集群原理以及配置&…

Android 基础技术——Bitmap

笔者希望做一个系列&#xff0c;整理 Android 基础技术&#xff0c;本章是关于 Bitmap Bitmap 内存如何计算 占用内存 宽 * 缩放比例 * 高 * 缩放比例 * 每个像素所占字节 缩放比例 设备dpi/图片所在目录的dpi Bitmap加载优化&#xff1f;不改变图片质量的情况下怎么优化&am…

AlmaLinux上安装Docker

AlmaLinux上安装Docker 文章目录 AlmaLinux上安装Docker一、前言二、具体步骤1、Docker 下载更新系统包索引&#xff1a;添加Docker仓库&#xff1a;安装Docker引擎&#xff1a; 2、Docker服务启动启动Docker服务&#xff1a;设置Docker开机自启&#xff1a; 3、Docker 安装验证…

基于SSM的网络办公系统(有报告)。Javaee项目。ssm项目。

演示视频&#xff1a; 基于SSM的网络办公系统&#xff08;有报告&#xff09;。Javaee项目。ssm项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring Spri…

mysql注入联合查询

环境搭建 下载复现漏洞的包 下载小皮面板 将下载好的文件解压在小皮面板的phpstudy_pro\WWW路径下 将这个文件phpstudy_pro\WWW\sqli-labs-php7-master\sql-connections\db-creds.inc 中的密码更改为小皮面板中的密码 选择php版本 在小皮中启动nginx和数据库 使用环回地址访…

java如何处理多线程异常

一、一个线程在执行过程中发生了异常会怎样&#xff1f; 那要看我们是否对这个异常进行了处理&#xff0c;如果处理了&#xff0c;那么线程会继续执行&#xff0c;如果没有处理&#xff0c;那么线程会释放掉自己所持有的锁&#xff0c;退出执行&#xff0c;如果这个线程是主线程…

linux 基于科大讯飞的文字转语音使用

官方文档地址&#xff1a;离线语音合成 Linux SDK 文档 | 讯飞开放平台文档中心 一、SDK下载 1、点击上面官方文档地址的链接&#xff0c;可以跳转到以下界面。 2、点击“普通版”&#xff0c;跳转到以下界面。 3、点击“下载”跳转到以下界面 4、最后&#xff0c;点击“SDK下…

电脑和手机连接酒店的wifi,网络不通导致charles无法抓手机的包

查看苹果手机&#xff0c;连wifi后的ip地址 电脑去ping 手机的ip地址&#xff0c;发现ping不通 解决方案&#xff1a; 应该是酒店wifi的问题&#xff0c;让朋友开个手机热点&#xff0c;电脑和我的手机都连这个热点&#xff0c;就可以抓包了

【vue2】路由之 Vue Router

文章目录 一、安装二、基础使用1、简单的示例2、动态路由2.1 定义动态路径参数2.2 获取动态路径的参数2.3 捕获所有路由 3、嵌套路由4、编程式的导航4.1 router.push4.2 router.replace4.3 router.go(n) 5、命名路由6、重定向 三、进阶1、导航守卫1.1 全局前置守卫1.2 全局后置…

日常学习之:vue + django + docker + heroku 对后端项目 / 前后端整体项目进行部署

文章目录 使用 docker 在 heroku 上单独部署 vue 前端使用 docker 在 heroku 上单独部署 django 后端创建 heroku 项目构建 Dockerfile设置 settings.pydatabase静态文件管理安全设置applicaiton & 中间件配置 设置 requirements.txtheroku container 部署应用 前后端分别部…

SpringBoot整合Xxl-Job实现异步任务调度中心

目录 一、下载 1、源码 2、项目结构 3、模块说明 二、部署任务调度中心 1、创建数据库xxl-job 2、配置数据库 3、启动admin模块 4、打开任务调度中心 三、SpringBoot整合xxl-job 1、导入依赖 2、配置yml文件 3、配置类 4、启动项目 5、任务配置 6、测试 一、下…

Windows 和 Anolis 通过 Docker 安装 Milvus 2.3.4

Windows 10 通过 Docker 安装 Milvus 2.3.4 一.Windows 安装 Docker二.Milvus 下载1.下载2.安装1.Windows 下安装&#xff08;指定好Docker文件目录&#xff09;2.Anolis下安装 三.数据库访问1.ATTU 客户端下载 一.Windows 安装 Docker Docker 下载 双击安装即可&#xff0c;安…

[嵌入式系统-5]:龙芯1B 开发学习套件 -2- LoongIDE 集成开发环境集成开发环境的安装步骤

目录 一、LoongIDE&#xff08;龙芯开发工具集成环境&#xff09;概述 1.1 概述 二、软件开发环境的安装过程 2.0 注意事项 2.1 步骤1&#xff1a;MingW运行环境 2.2 步骤2&#xff1a;安装LoongIDE 2.3 步骤3&#xff1a;安装MIPS工具链 2.4 配置工具链 2.5 重启电脑…