老洞新谈:Exchange渗透利用

0x01 FOFA指纹

title="Outlook Web App"
title="Exchange"
body="/owa/auth/"
body="/themes/resources/segoeui-semilight.ttf"

0x02 exchange 接口

  • 通常Exchange server 有以下端点,可以链接访问

https://Exchangeserver/mapi/
https://Exchangeserver/Microsoft-Server-ActiveSync/
https://Exchangeserver/OAB/
https://Exchangeserver/OWA/
https://Exchangeserver/PowerShell/
https://Exchangeserver/Rpc/
https://Exchangeserver/AutoDiscover/
https://Exchangeserver/Ecp/
https://Exchangeserver/EWS/
  • 接口的作用解释

|/powershell | exchange管理控制台|
|/RPC outlook|anywhere的rpc交互|
|/Microsoft-Server- ActiveSync|用于移动应用程序访问邮件|
|/oab|用于outlook客户端提供地址的副本,减轻exchange的 负担|
|/mapi|outlook连接exchange的默认连接方式,在版本2013之 后开始使用,2010 sp2 同样支持|
|/ews|exchange web service,实现客户端与服务端之间基于 http的soap交互|
|/owa|Exchange owa 接口,用于通过web应用程序访问邮 件、日历、任务和联系人等|
|/ecp|Exchange管理中心,管理员用于管理组织中的 Exchange的Web控制台|
|/autodiscover|自动配置用户在Outlook中邮箱的相关设置,简化用户 登陆使用邮箱的流程|

  • 工具利用

https://github.com/sensepost/ruler

  • 邮件下载

https://github.com/cisp/GetMail
https://gitlab.com/gvillegas/ohwaa/

  • exchange server 性能运行状态检查器脚本

https://github.com/dpaulson45/HealthChecker

0x03 快速确认exchange版本

  • 网页源代码ctrl+F搜索

<link rel="shortcut icon" href=

快速确认exchange版本.png

0x04 爆破

通常情况下,Exchange系统是不对邮箱登录次数做限制,可以利用大字典来进行爆破 Exchange邮箱的登录帐户分为三种形式

domain \ username
username
user @ domain

如果直接使用owa页面爆破,用户名需要尝试全部三种方式使用burp就好

  • APT34爆破工具

https://github.com/blackorbird/APT_REPORT/blob/master/APT34/Jason.zip

对于某些限制登录次数的网站,还可以尝试进行NTLM验证接口进行爆破,最常见的就是ews接口 工具:

https://github.com/grayddq/EBurst

0x05 内网识别

  • 使用k8 ladon识别

ladon 127.0.0.1 Whatcms

0x6 CVE-2021-26855利用

  • 影响版本:
    Exchange 2013 Versions < 15.00.1497.012

Exchange 2016 CU18 < 15.01.2106.013
Exchange 2016 CU19 < 15.01.2176.009
Exchange 2019 CU7 < 15.02.0721.013
Exchange 2019 CU8 < 15.02.0792.010

http://127.0.0.1/ecp
前提必须知道一个邮箱

python exchange.py 127.0.0.1 xxx@test.com

0x07 CVE-2020-0688-微软Exchange服务远程代码执行漏洞

  • 影响版本:
    Microsoft Exchange Server 2010 Service Pack 3 Microsoft Exchange Server 2013

Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

https://127.0.0.1/ecp

登录进去抓包获取cookie

document.getElementById("__VIEWSTATEGENERATCR").value #在网页控制台输入获取编

exchange.exe cookie 编码

0x08 CVE-2017-11774

  • 影响版本:
    Microsoft Outlook 2016(64位版本)

Microsoft Outlook 2016(32位版本)
Microsoft Outlook 2013 Service Pack 1(64位版本)0 Microsoft Outlook 2013 Service Pack 1(32位版本)0 Microsoft Outlook 2013 RT Service Pack 1 Microsoft Outlook 2010(64位版本)Service Pack 2 Microsoft Outlook 2010(32位版本)Service Pack 2

参考链接:

https://sensepost.com/blog/2017/outlook-home-page-another-ruler-vector/

0x09CVE-2018-8581

  • 影响版本:
    Exchange Server 2010 (比较稳定,测试基本Exchange Server 2010都能成功) Exchange Server 2013 (环境差异可能失败)

Exchange Server 2016 (环境差异可能失败)
Exchange Server 2019 (环境差异可能失败)

参考链接:

https://paper.seebug.org/804/

实战操作:

https://blog.51cto.com/u_13741006/2347487

原创文章,作者:zfj-zfj,如若转载,请注明出处:https://www.zfjsec.com/695.html
-- 展开阅读全文 --
基于.Net Core3.1 与signalR实现一个即时通讯工具(四)——功能实现
« 上一篇 05-21
ECharts5.x--堆叠柱状图并自定义数据和图例的颜色
下一篇 » 05-29

发表评论