渗透基础——Exchange Autodiscover的使用
2020-08-24 12:02:41 Author: www.4hou.com(查看原文) 阅读量:551 收藏

0x00 前言

Autodiscover是Exchange的一个服务,用来简化客户端应用程序的配置流程。用户只需要输入自己的电子邮件地址和密码,就能够通过Autodiscover服务获取运行客户端应用程序所需的配置信息。

在渗透测试中,当我们获得了一个邮件用户的凭据,能够通过Autodiscover服务挖掘出更多有价值的信息。

本文将要介绍通过Autodiscover服务读取配置信息的方法,开源实现代码,分享利用思路。

0x01 简介

本文将要介绍以下内容:

· 通过Autodiscover进行口令爆破的方法

· 通过Autodiscover读取配置信息的方法

· 通过Autodiscover访问Exchange邮件资源的方法

0x02 通过Autodiscover进行口令爆破的方法

对应的URL:https://

验证方式:NTLM Over HTTP Protocol(分别支持明文和NTLM hash登录)

登录失败返回401。

登录成功返回200,内容示例:

image.png

我们可以看到,Autodiscover的验证流程同EWS基本相同,所以在代码实现上也可以参照之前的代码checkEWS.py

这里不再重复介绍,具体细节可参考之前的文章《渗透技巧——Pass the Hash with Exchange Web Service》

实现代码可参照checkAutodiscover.py中的checkautodiscover功能。

0x03 通过Autodiscover读取配置信息的方法

直接通过浏览器访问https://

无法获得配置信息,浏览器返回的内容示例:

image.png

如下图:

Alt text

为了能够读取配置信息,我们需要以下操作:

1.发送GET包,Header中加入NTML认证信息,示例:Authorization: NTLM xxxxxxxxxxx

URL为/autodiscover/autodiscover.xml

指定编码格式为gzip,格式如下:

Accept-Encoding: gzip

2.接收返回结果

提示401 Unauthorized

3.发送POST包

在Header中完成NTML认证,同时Header还需要额外添加以下信息(X-Anchormailbox),指定当前用户的邮箱地址,示例:X-Anchormailbox: [email protected]

POST的内容格式如下:

image.png

其中,{EMailAddress}为当前用户的邮箱地址。

完整数据包示例:

image.png

4.接收返回结果

提示200 OK

返回的Body内容为gzip压缩格式,需要进行解码。

不同版本的Exchange获得的内容有所不同,部分通用的内容如下:

· DisplayName

· LegacyDN

· AutoDiscoverSMTPAddress

其中值得注意的是AD,代表域控制器的计算机名,在Exchange 2013及更老的版本能够获得AD的信息,Exchange2016无法获取。

以上的实现代码可参照checkAutodiscover.py中的checkautodiscover功能。

在之前的文章《渗透技巧——通过Exchange ActiveSync访问内部文件共享》介绍了通过Exchange ActiveSync访问域内共享目录SYSVOL的方法,这里的路径需要指定域控制器的计算机名。

正确的写法:

\\dc1\SYSVOL\test.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\GPT.INI

错误的写法:

\\test.com\SYSVOL\test.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\GPT.INI

将以上两点进行结合,就能够完整的实现读取域内共享目录SYSVOL的文件。

为了能够支持Exchange2016,这里介绍一种更为通用(支持所有版本)获取域控制器计算机名的方法:通过EWS读取当前用户的配置信息,进而获得域控制器的计算机名。

参考资料:

https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/how-to-get-user-settings-from-exchange-by-using-autodiscover

这里需要注意请求的url为/autodiscover/autodiscover.svc,而不是/EWS/Exchange.asmx。

发送的SOAP格式示例:

image.png

这里需要注意{domain}必须为域名,不能是IP。

返回的结果中,ActiveDirectoryServer表示域控制器的计算机名,如下图:

Alt text

实现代码可参照checkAutodiscover.py中的getusersetting功能。

0x04 通过Autodiscover访问Exchange邮件资源的方法

通过Autodiscover完成身份认证以后,可以使用MAPI OVER HTTP访问Exchange邮件资源。

注:

MAPI OVER HTTP是Outlook同Exchange2016之间默认的通信协议。

MAPI OVER HTTP是Exchange Server 2013 Service Pack 1 (SP1)中实现的新传输协议,用来替代RPC OVER HTTP(也称作Outlook Anywhere)

Exchange2013默认没有启用MAPI OVER HTTP,Outlook同Exchange之间的通信协议使用RPC OVER HTTP。

MAPI OVER HTTP的资料可参考:

https://docs.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-oxcmapihttp/d502edcf-0b22-42f2-8500-019f00d60245

https://interoperability.blob.core.windows.net/files/MS-OXCMAPIHTTP/[MS-OXCMAPIHTTP].pdf

ruler也支持MAPI OVER HTTP的部分功能,可以作为参考。

1.执行命令

流程:

1.connect

2.execute

3.disconnect

2.通过Offline Address Book (OAB)读取GlobalAddressList

使用checkAutodiscover.py

(1)通过Autodiscover获得OABUrl

命令示例:

python checkAutodiscover.py 192.168.1.1 443 plaintext [email protected] DomainUser123! checkautodiscover

结果如下图:

Alt text

获得OABUrl为https://dc1.test.com/OAB/9e3fa457-ebf1-40e4-b265-21d09a62872b/

(2)访问OABUrl,从中找到Default Global Address对应的lzx文件名。

命令示例:

python checkAutodiscover.py 192.168.1.1 443 plaintext [email protected] DomainUser123! checkoab

结果如下图:

Alt text

获得Default Global Address为4667c322-5c08-4cda-844a-253ff36b4a6a-data-5.lzx

(3)下载lxz文件

命令示例:

python checkAutodiscover.py 192.168.1.1 443 plaintext [email protected] DomainUser123! downloadlzx

结果如下图:

Alt text

(4)对lxz文件进行解码

使用工具oabextract

下载后需要进行安装。

编译好可在Kali下直接使用的版本下载地址:http://x2100.icecube.wisc.edu/downloads/python/python2.6.Linux-x86_64.gcc-4.4.4/bin/oabextract

将lzx文件转换为oab文件的命令示例:

oabextract 4667c322-5c08-4cda-844a-253ff36b4a6a-data-5.lzx gal.oab

提取出GAL的命令示例:

strings gal.oab|grep SMTP

结果如图:

Alt text

0x05 小结

本文介绍了通过Autodiscover进行口令爆破、读取配置信息和访问Exchange邮件资源的方法,开源实现代码,分享利用思路。

本文为 3gstudent 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/62jl
如有侵权请联系:admin#unsafe.sh