Ichunqiu云境 —— Exchange Writeup

简介: 1. OSCP 渗透风格,脱离C2和MSF之类的工具2. Box 难度不高

0x00 Intro

  1. 1. OSCP 渗透风格,脱离C2和MSF之类的工具
  2. 2. Box 难度不高

0x01 Info

  • • Tag: JDBC, Exchange, NTLM, Coerce Authentication, DCSync


0x02 Recon

  1. 1. Target external IP 39.98.179.149
  2. 2. Nmap results


  3. 3. 直接关注8000端口,前面我已经怼过80了,没东西直接过

  4. 4. 华夏ERP,有很多漏洞的,入口点卡了很久,后面看到JDBC,直接谷歌一搜就搜到大哥的文章了 Fastjson高版本的奇技淫巧 - Bmth (bmth666.cn)(http://www.bmth666.cn/bmth_blog/2022/10/19/Fastjson%E9%AB%98%E7%89%88%E6%9C%AC%E7%9A%84%E5%A5%87%E6%8A%80%E6%B7%AB%E5%B7%A7/#%E8%93%9D%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5%8C%E6%80%AA)
  5. 5. 构造payload

  6. 6. Configure MySQL_Fake_Server

  7. 7. 未授权 + MySQL Connector JDBC反序列化组合拳直接RCE

  8. 8. RCE后直接获取 Flag01

0x03 入口点:172.22.3.12

  1. 1. SMB扫描内网主机,看到Exchange关键字 (EXC01),尝试访问

  2. 2. 172.22.3.9 为 Exchange

  3. 3. Proxylogon 直接打死,获取system权限


  4. 4. flag02(后续凭据收集略过)

0x04 入口点:172.22.3.9

  • • 快进1:已经收集到了exchange机器账户的hash
  • • 快进2:同时收集到了一个域账户凭据:Zhangtong
  1. 1. 这边已经通过上面的操作收集到了exchange的机器账户hash,exchang的机器账户在域内对整个domain-object有writedacl权限,那我们直接使用dacledit.py给Zhangtong加dcsync权限(其实你也可以给自己加上dcsync)

  2. 2. Dcsync,获取到域管和用户lumia的hashes

  3. 3. 进入 172.22.3.2 获取flag04

0x05 Final:172.22.3.26

  1. 1. 172.22.3.26上面的Lumia用户文件夹里面有个secret.zip

  2. 2. 直接PTH Exchange导出Lumia mailbox里面的全部邮件以及附件

  3. 3. item-0.eml,提示密码是手机号

  4. 4. 刚好导出的附件里面有一个csv,里面全是手机号

  5. 5. 常规操作,转换成pkzip格式的hash再跑字典,跑出密码


  6.  


  7.  

  8. 6. flag03


  9.  

  10.  

0x06 Outro

  1. 1. Exchange 后渗透那,作者本意是想让我们用 NTLM Relay去完成DCSync提权,获取Exchange SYSTEM权限后,触发webdav回连中继到ldap,这里的话就不尝试了,有兴趣的话可以看我上一篇文章 Spoofing
  2. 2. Lumia用户登录exchange那,作者也是想让你改掉Lumia用户的密码,但是我就懒了,直接PTH
相关文章
|
安全 Shell PHP
Ichunqiu云境 - Delegation Writeup
1. Target external IP 39.98.34.149 2. Nmap results
|
SQL Web App开发 Oracle
Ichunqiu云境 —— Endless(无间计划) Writeup
两个入口点,一个入口点是pboot-cms,另外一个是SQL注入
|
Ubuntu 应用服务中间件 Shell
IChunQiu云境-Spoofing Writeup(一)
Tag: Tomcat,NTLM,WebClient,Coerce Authentication,noPac
Re34:读论文 Organizing Portuguese Legal Documents through Topic Discovery
本文是2022年SIGIR会议SIRIP(工业)track的paper,关注对法律文书的整理工作(整理、组织、摘要、发现隐主题),以巴西最高法院Jusbrasil的葡萄牙语数据集为例,进行主题建模,直接用术语表而非文档。 本文主要探索各种主题建模方法在葡萄牙语数据集上的效果(我咋感觉这个工作量不高呢,是我的错觉吗还是事实如此,SIGIR不是顶会吗,就这?)。
Re34:读论文 Organizing Portuguese Legal Documents through Topic Discovery
|
测试技术 API 网络架构
堪称神器的Wisdom RESTClient 你忍心拒绝吗?
Wisdom RESTClient是一款支持自动化测试RESTful API并且可以基于测试的历史数据自动生成RESTful API文档的REST Client神器。
4908 0
|
Shell PHP 数据安全/隐私保护
noxCTF部分writeup(欢迎吐槽QAQ)
前言 本文首发i春秋:https://bbs.ichunqiu.com/thread-46059-1-1.html 渣渣一枚,萌新一个,会划水,会喊六六(hhhhh) 补一下关于noxCTF中的部分解题思路,毕竟自己太渣(Qrz),有些题目还是做不出来(QAQ),有什么错误的地方,希望各位大佬指点...
1442 0