内网安全第一百三十二天

最新推荐文章于 2024-10-16 11:02:39 发布
最新推荐文章于 2024-10-16 11:02:39 发布
阅读量276 收藏
点赞数
分类专栏: 内网安全 文章标签: 安全 web安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/B_l_a_nk/article/details/132303230
版权
本文介绍了如何利用内网服务中的Exchange漏洞进行域横向移动,包括端口扫描、SPN扫描、脚本探针以及针对有账户和无账户的爆破方法。还提到利用Burp+Proxifier进行账户爆破的局限性,以及如何通过版本检测找到对应漏洞。
摘要由CSDN通过智能技术生成

内网安全-横向移动&Exchange服务&有账户CVE漏洞&无账户口令爆破

目录

内网安全-横向移动&Exchange服务&有账户CVE漏洞&无账户口令爆破

#知识点:

域横向移动-内网服务-Exchange探针

插入知识:

域横向移动-内网服务-Exchange爆破

1、Burp+Proxifier

2、项目

域横向移动-内网服务-Exchange漏洞

#知识点:

1、横向移动-内网服务-Exchange

2、横向移动-无账户-Exchange-爆破

3、横向移动-有账户-Exchange-漏洞

Exchange Server是微软公司的一套电子邮件服务组件。. 除传统的电子邮件的存取、储存、转发作用外,在新版本的产品中亦加入了一系列辅助功能,如语音邮件、邮件过滤筛选、OWA(基于Web的电子邮件存取)。Exchange支持多种网络邮件协议;如:SMTP,POP3,IMAP4等。

本节课主要讲一下Exchange在内网横向移动的用处,我们一般是扫描25端口来看这个服务开启了没有。25端口就是SMTP协议,即邮件传输协议。

域横向移动-内网服务-Exchange探针

1、端口扫描

exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务,所以可以通过一些端口特征来定位exchange。

2、SPN扫描

powershell setspn -T 0day.org -q */*

3、脚本探针

python Exchange_GetVersion_MatchVul.py xx.xx.xx.xx

利用端口扫描的话就是看25端口是否开放,SPN扫描的话就直接可以看域内主机开启的服务。而脚本探针则是利用py脚本对目标ip进行探针,不仅可以探针到目标机器的Exchange服务的版本,还会列出该版本存在的漏洞信息

利用CS进行端口扫描就可以看到25号端口开设了一个ESMTP MAIL服务,那我们一看就知道这是邮件服务呀。

此时我们需要知道一点,就是这个邮件服务器不一定就是在域控上面,可能是单独开设的一个机器来作为邮件服务器

这里可以看到利用SPN扫描也是可以扫到exchange服务的

利用脚本可以探测到Exchange的内核版本,

我们可以通过下面这个微软官方文档找到相应的server版本,如果说这个版本存在一直的CVE的话,那就会直接显示出来。

Exchange Server 内部版本号和发行日期 | Microsoft Learn

那这个很可能就是2010 SP3这个版本,然后我们就可以根据这个版本看存在哪些漏洞。

并且这里如果说这个邮件服务暴露在外网的话,利用这个工具也是可以进行探针的,如果说该版本存在漏洞的话,就会直接把漏洞编号显示出来

插入知识:

通过下图我们可以看到exchange以前爆出来过11个漏洞。但是没有版本对应漏洞,我们不太好看。

然后我们在看刚才那个脚本的源码写的,会发现少了一个2018的,也就是说可能存在CVE2018这个漏洞,但是这个脚本没扫出来的情况,需要注意一下

这一张图片有漏洞对应的版本,但是图片比较模糊,细看的话能看出来,就别嫌弃了。

域横向移动-内网服务-Exchange爆破

1、Burp+Proxifier

这个就是当我们已经有一个主机的普通权限就行,就可以先看一下域内成员都有谁,然后就可以在登录邮件系统的时候进行爆破,因为这个作为域内成员发邮件的一个东西,肯定每个人都有一个账户,我们可以通过抓包然后对密码进行爆破,如果能爆破出来就可以发送一些钓鱼邮件。但这个用处不是特别大,爆破出来登录上去可以发送钓鱼邮件,其他也没啥大的做用,不如我们等会说的直接通过Exchange版本来看相应漏洞,然后直接利用漏洞去利用然后上传后门拿下域控。

这里需要注意一下,我们这里是在本机抓包的,所以需要是利用proxifier搞个代理,不然也访问不了域控上面的邮件服务,同样也抓不了包

就可以把这些成员名字全部放到burp上面进行爆破,然后看能不能爆破出来正确的密码。

2、项目

GitHub - grayddq/EBurst: 这个脚本主要提供对Exchange邮件服务器的账户爆破功能,集成了现有主流接口的爆破方式。

GitHub - lazaars/MailSniper: MailSniper is a penetration testing tool for searching through email in a Microsoft Exchange environment for specific terms (passwords, insider intel, network architecture information, etc.). It can be used as a non-administrative user to search their own email, or by an administrator to search the mailboxes of every user in a domain.

这两个项目也是爆破用的,小迪说不推荐大家使用,因为他没有成功。。。。。

域横向移动-内网服务-Exchange漏洞

确定内核版本-筛选Server版本-确定漏洞对应关系-选择漏洞进行漏洞

我们这里可以直接在邮件服务的页面右键源码,就可以知道它的内核版本,然后看server版本,然后确定漏洞关系,最后利用漏洞

https://www.cnblogs.com/xiaozi/p/14481595.html

这个链接里面就有版本和漏洞的对应关系,但是到2020就结束了,这也是比较难受的地方。

然后小迪复现了几个CVE,这里我就不在记了,网上直接搜CVE编号比小迪讲的清楚。

xiaopeisec
关注
专栏目录
内网安全】横向移动&Exchange服务&有账户CVE漏洞&无账户口令爆破
今天是几号的博客
03-30 1233
Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。实验靶场环境:0day.org单域环境Win7 x64 0day.org PC-Jack 访问域主机地址。
132-横向移动-Exchange 服务&有账户 CVE 漏洞&无账户口令爆破
DamnVanish的博客
08-22 447
Exchange有挺多漏洞的可惜没有环境无法复现啊!!!!!!!
内网横向移动—&Exchange 服务&有账户 CVE 漏洞&无账户口令爆破
技术超强的网络安全平台
08-03 1220
Exchange是一个电子邮件服务组件,由微软公司开发。它不仅是一个邮件系统,还是一个消息与协作系统。Exchange可以用来构建企业、学校的邮件系统,同时也是一个协作平台,可以基于此开发工作流、知识管理系统、Web系统或其他消息系统。
域渗透之Exchange
weixin_65550121的博客
12-08 1233
下载地址:https://support.microsoft.com/zh-cn/topic/%E9%80%82%E7%94%A8%E4%BA%8E-windows-%E7%9A%84-microsoft-net-framework-4-8-%E8%84%B1%E6%9C%BA%E5%AE%89%E8%A3%85%E7%A8%8B%E5%BA%8F-9d23f658-3b97-68ab-d013-aa3c3e7495e0。首先我们去装win2012虚拟机的时候需要给两个网卡,一个是内网,一个是外网的网卡。
内网安全第一百二十七天
B_l_a_nk的博客
07-20 461
1、内网隧道&穿透&加密&上线 2、项目-Ngrok&Frp&Nps&Spp
内网安全第一百三十三天
B_l_a_nk的博客
08-21 862
0、横向移动-系统漏洞-CVE-2017-0146 1、横向移动-域控提权-CVE-2014-6324 2、横向移动-域控提权-CVE-2020-1472 3、横向移动-域控提权-CVE-2021-42287 4、横向移动-域控提权-CVE-2022-26923
内网安全第一百二十二天
B_l_a_nk的博客
07-10 473
0、域产生原因 1、内网域的区别 2、如何判断在域内 3、域内常见信息收集 4、域内自动化工具收集
内网安全第一百二十八天
B_l_a_nk的博客
07-24 622
1、横向移动-IPC&at&schtasks 2、横向移动-Impacket套件&CS插件 3、横向移动-Socks代理自定义脚本批量
掌握内网渗透之道,成为实战高手,看《内网渗透实战攻略》就够了
等风来
01-10 2704
当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。传统的渗透测试从外网发起攻击,并以攻破单台主机为目标。与之相比,APT攻击在技术上更加系统地实现了对目标内网主机的大批量控制,从而使业内对内网渗透技术的关注度提高到了一个空前的高度。
第一百一十四课:针对国内一大厂的后渗透1
08-03
### 后渗透实战案例分析 #### 一、背景介绍 在本案例中,作者通过一系列技术手段对一家大型国内企业进行了后渗透...此外,案例还提醒我们即使是在测试环境中也应加强安全防护,避免成为攻击者进入企业内网的跳板。
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
热门推荐
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
2022第三届全国大学生网络安全精英赛练习题(4)
派大星子的博客
11-21 1万+
2022第三届全国大学生网络安全精英赛练习题(4)
网络安全等级保护测评——主机安全(三级)详解
zz12345600354的博客
05-05 1190
最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。
Spring Boot视频网站:安全与可扩展性设计
最新发布
2401_85702623的博客
10-16 594
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
Gin框架操作指南08:日志与安全
技术卷的博客
10-16 466
本节演示日志与安全相关的API,包括定义路由日志的格式;如何记录日志;安全页眉;使用BasicAuth中间件;使用HTTP方法。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 279
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
WEB应用安全测试指南–蓝队安全测试2】--超详细-可直接进行实战!!!亲测-可进行安全及渗透测试
Dreams°的博客
10-10 2079
任意文件下载漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下 web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器 API、文件标准权限进行攻击。严格来说,任意文件下载漏洞并不是一种 web漏洞,而是网站设计人员的设计“漏洞”
天珣内网安全风险治理与审计系统安装配置指南
"天珣内网安全风险治理与审计系统是启明星辰公司推出的一款专业的企业内部网络安全管理解决方案。该系统涵盖了服务器组件和策略网关组件等多个核心部分,旨在提升企业内网安全性和风险控制能力。系统包括了中心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaopeisec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值