Exchange渗透测试实战教学文档

Exchange渗透测试实战教学文档 0x00 概述 本教学文档基于Ichunqiu云境靶场的Exchange渗透测试实战案例，详细讲解从外网到内网、从初始访问到域控提权的完整攻击链。涵盖JDBC反序列化、Exchange漏洞利用、NTLM中继攻击、DCSync提权等关键技术点。 0x01 信息收集 目标识别 外部IP扫描发现8000端口运行华夏ERP系统 内网扫描发现Exchange服务器(172.22.3.9)和其他主机 工具使用 Nmap进行端口扫描和服务识别 SMB扫描内网主机(发现EXC01 Exchange服务器) 0x02 初始访问 - 华夏ERP漏洞利用 漏洞分析 目标系统使用Fastjson高版本处理JDBC连接 存在MySQL Connector/J JDBC反序列化漏洞 攻击步骤 构造恶意Fastjson payload 搭建MySQL Fake Server 利用未授权访问+JDBC反序列化组合拳实现RCE 关键payload 参考文章： Fastjson高版本的奇技淫巧 结果 获取Flag01 建立内网立足点 0x03 Exchange服务器攻击 目标识别 内网IP: 172.22.3.9 服务: Exchange Server 攻击方法 利用ProxyLogon漏洞直接攻击Exchange 获取SYSTEM权限 获取Flag02 凭据收集 收集Exchange机器账户hash 获取域账户Zhangtong的凭据 0x04 权限提升与横向移动 Exchange机器账户利用 Exchange机器账户对domain-object有WriteDACL权限 使用dacledit.py工具给Zhangtong账户添加DCSync权限 DCSync攻击 使用获取的权限执行DCSync 获取域管理员和用户Lumia的NTLM hash 访问172.22.3.2获取Flag04 0x05 最终目标攻击 - 172.22.3.26 目标分析 Lumia用户文件夹中有secret.zip 需要密码才能解压 攻击步骤 使用Pass-the-Hash(PTH)技术以Lumia身份登录 导出Lumia邮箱中的所有邮件和附件 发现item-0.eml提示密码是手机号 从导出的CSV文件中获取手机号列表 将手机号转换为pkzip格式的hash字典 破解zip密码获取Flag03 0x06 替代攻击路径分析 NTLM Relay攻击 作者预期使用NTLM Relay完成DCSync提权 获取Exchange SYSTEM权限后触发WebDAV回连 中继到LDAP服务实现权限提升 用户密码修改 预期修改Lumia用户密码 实际采用Pass-the-Hash技术绕过 0x07 总结与防御建议 攻击技术总结 JDBC反序列化漏洞利用 Exchange ProxyLogon漏洞利用 NTLM Relay攻击 DCSync权限提升 Pass-the-Hash横向移动 密码破解技术 防御建议 及时更新Fastjson和MySQL Connector/J组件 修补Exchange已知漏洞(如ProxyLogon) 限制机器账户权限 启用LDAP签名和通道绑定 监控异常DCSync操作 实施强密码策略和定期更换 限制敏感文件的访问权限 附录：关键工具列表 Nmap - 端口扫描 MySQL_ Fake_ Server - JDBC反序列化利用 dacledit.py - DACL修改工具 secretsdump.py - DCSync操作工具 Hashcat - 密码破解工具