攻击手法分析
1、无凭据:
- 爆破:利用401认证进行爆破
- 泄露内网信息:利用msf:auxiliary/scanner/http/owa_iis_internal_ip,泄露Exchange内网IP地址
- 配合钓鱼进行NTLM_Relay(工具:ExchangeRelayX)
- 利用CVE进行获取权限
2、有凭据:
- 导出邮箱列表
- Exchange Rce漏洞
- Exchange SSRF 进行NTLM_Relay
- 使用Hash、密码操作EWS接口
- 攻击Outlook客户端:Outlook提供了一项“规则和通知”(Rules and Alerts)的功能,可以设置邮件接收和发送的策略,分为规则条件和动作,即用户定义当邮件满足某些条件时(如邮件主题包含特定词语),触发一个特定的动作,这个动作可以是对邮件的管理、处置,甚至是启动应用程序。
- 从Exchange到域管:writeACL DCsync
3、常用命令
#在Exchange Management Shell下执行
Get-Mailbox //获取数据库名
Get-MailboxDatabase //获取数据库存储位置
Get-Mailboxstatistics -identity administrator | select DisplayName,ItemCount,TotalItemSize,LastLogonTime //查看指定用户的邮箱使用信息
Get-ManagementRoleAssignment -role "Mailbox Import Export"