首页 > 其他分享 >春秋云镜-【仿真场景】Exchange writeup

春秋云镜-【仿真场景】Exchange writeup

时间:2023-03-07 11:11:33浏览次数:48  
标签:Exchange E5% writeup 云镜 E6% 直接 Lumia 172.22

0x00 Intro

  1. OSCP 渗透风格,脱离C2和MSF之类的工具
  2. Box 难度不高

 

0x01 Info

  • Tag: JDBC, Exchange, NTLM, Coerce Authentication, DCSync

 

0x02 Recon

  1. Target external IP
    39.98.179.149
  2. Nmap results
  3. 直接关注8000端口,前面我已经怼过80了,没东西直接过
  4. 华夏ERP,有很多漏洞的,入口点卡了很久,后面看到JDBC,直接谷歌一搜就搜到大哥的文章了
    Fastjson高版本的奇技淫巧 – Bmth (bmth666.cn)(http://www.bmth666.cn/bmth_blog/2022/10/19/Fastjson%E9%AB%98%E7%89%88%E6%9C%AC%E7%9A%84%E5%A5%87%E6%8A%80%E6%B7%AB%E5%B7%A7/#%E8%93%9D%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5%8C%E6%80%AA)
  5. 构造payload
  6. Configure MySQL_Fake_Server
  7. 未授权 + MySQL Connector JDBC反序列化组合拳直接RCE
  8. RCE后直接获取 Flag01

 

0x03 入口点:172.22.3.12

  1. SMB扫描内网主机,看到Exchange关键字 (EXC01),尝试访问
  2. 172.22.3.9 为 Exchange
  3. Proxylogon 直接打死,获取system权限

  4. flag02(后续凭据收集略过)

 

0x04 入口点:172.22.3.9

  • 快进1:已经收集到了exchange机器账户的hash
  • 快进2:同时收集到了一个域账户凭据:Zhangtong
  1. 这边已经通过上面的操作收集到了exchange的机器账户hash,exchang的机器账户在域内对整个domain-object有writedacl权限,那我们直接使用dacledit.py给Zhangtong加dcsync权限(其实你也可以给自己加上dcsync)
  2. Dcsync,获取到域管和用户lumia的hashes
  3. 进入 172.22.3.2 获取flag04

 

0x05 Final:172.22.3.26

  1. 172.22.3.26上面的Lumia用户文件夹里面有个secret.zip
  2. 直接PTH Exchange导出Lumia mailbox里面的全部邮件以及附件
  3. item-0.eml,提示密码是手机号
  4. 刚好导出的附件里面有一个csv,里面全是手机号
  5. 常规操作,转换成pkzip格式的hash再跑字典,跑出密码


  6. flag03

 

0x06 Outro

  1. Exchange 后渗透那,作者本意是想让我们用 NTLM Relay去完成DCSync提权,获取Exchange SYSTEM权限后,触发webdav回连中继到ldap,这里的话就不尝试了,有兴趣的话可以看我上一篇文章 Spoofing
     2.Lumia用户登录exchange那,作者也是想让你改掉Lumia用户的密码,但是我就懒了,直接PTH
原文链接: https://www.anquanke.com/post/id/286967

标签:Exchange,E5%,writeup,云镜,E6%,直接,Lumia,172.22
From: https://www.cnblogs.com/backlion/p/17187366.html

相关文章

  • 春秋云镜-【仿真场景】Spoofing writeup
    0x01–InfoTag:Tomcat,NTLM,WebClient,CoerceAuthentication,noPac0x02–ReconTargetexternalip47.92.146.66NmapresultsFocusonport8009(ajp),意味着是tomcat......
  • exchange2016服务器的DAG的部署
    现在大家都开始用exchange2016的邮件系统了。原先的的exchange2010也需要升级了。要么升级,要exchange2010和exchange2016共存。我是在把原来虚拟机的环境卸载后重新安装的......
  • Vulnhub DC-9靶场WriteUP
    Recon  首先使用netdiscover扫描靶机,靶机IP地址为192.168.244.135。┌──(kali㉿kali)-[~]└─$sudonetdiscover-r192.168.244.0/24Currentlyscanning:192.1......
  • MogDB 学习笔记之 --exchange partition
    #概念描述MogDB提供了从分区交换的功能,如单表转化到一个分区中基本语法:ALTERTABLE...EXCHANGEPARTITION数据库版本#测试验证##1、环境准备```miao=>selectversio......
  • Exchange 2013 清空邮箱
    在某些应用场景中,需要清空用户邮箱的所有数据。如果使用Outlookwebapp或者Outlook的邮件删除方式,对数以千计的邮件来说,实在不是一个好办法。exchange管理员可以使用“Se......
  • ACP云原生容器题目整理 -- 阿里云镜像服务ACR
    ACR企业版支持托管的HelmChart支持v2和v3版本使用个人版实例推送拉取镜像的前提条件:安装Docker,注册阿里云账号创建镜像仓库时,在设置源代码对话框中,将代码源设为:Github,......
  • return chain.filter(exchange); 这句啥意思
      答:继续往后执行过滤器,如果不调用这句代码,请求就不会发给控制器了,如果当前执行的过滤器后面还有过滤器,执行那个过滤器,如果没有,就执行控制器。 那我此时想一个请求......
  • [羊城杯 2020]ByteCode writeup
    下载附件打开:  可以判断为是Python字节码,按照逻辑手动反编译出源码来即可,逻辑并不复杂,有不懂的地方可以看参考文献还原出来的源码为:#flag=input("pleaseinput......
  • 春秋云镜-CVE-2022-30887
    春秋云镜-CVE-2022-30887多语言药房管理系统(MPMS)是用PHP和MySQL开发的,该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于......
  • Exchanger多线程交换数据
    Exchanger用于两个线程之间(也可以多个线程)交换数据,交换器将自动匹配两个线程,将其数据互相传递.publicclassTest{publicstaticvoidmain(String[]args){......