9、内网安全-横向移动&Exchange服务&有账户CVE漏洞&无账户口令爆破

用途：个人学习笔记，有所借鉴，欢迎指正！

背景：

在内网环境的主机中，大部分部署有Exchange邮件服务，对于Exchange服务的漏洞也是频出，在这种情况下，如果拿到内网中一台主机权限，便可以针对部署Exchange邮件服务的主机进行横向移动，以下包括三方面：Exchange探针、Exchange爆破、Exchange漏洞利用

知识点：

1、横向移动-内网服务-Exchange
2、横向移动-无账户-Exchange-爆破
3、横向移动-有账户-Exchande-漏洞

一、域横向移动-内网服务-Exchange探针

1、端口扫描

exchange会对外暴露接口如OWA,ECP等，会暴露在80端口，而且25/587/2525等端口
上会有SWTP服务，所以可以通过一些端口特征来定位exchange。

2、SPN扫描

powershell setspn -T 0day.org -q */*

3、脚本探针

python Exchange_Getversion_MatchVul.py xx.xx.xx.xx

https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

二、域横向移动-内网服务-Exchange爆破

1、Burp+Proxifier

抓到Exchange登录数据包，通过CS重发器插件，不断变换账号或密码进行爆破

2、Exchange爆破脚本项目：

https://github.com/grayddq/EBurst
https://github.com/lazaars/MailSniper 

三、域横向移动-内网服务-Exchange漏洞

确定内核版本-筛选server版本-确定漏洞对应关系-选择漏洞利用脚本进行复现攻击
CVE-2018-8581
CVE-2020-0688
CVE-2020-17144
CVE-2021-34473
CVE-2021-34523
CVE-2021-31207
CVE-2021-26855
CVE-2021-27065
CVE-2021-31196
CVE-2021-31195
CVE-2021-42321

分析出存在的漏洞类型后，可通过漏洞编号去Github搜索可利用的EXP脚本

参考：
https://www.cnblogs.com/xiaozi/p/14481595.html