开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用尝试连接到Exchange服务器的php-ews从SOAP调用获取HTTP 401未经授权的响应

，可能是由于以下原因导致的：

认证问题：HTTP 401未经授权的响应通常表示请求缺乏有效的身份验证凭据。请确保在SOAP调用中提供了正确的用户名和密码，以便与Exchange服务器进行身份验证。
访问权限问题：Exchange服务器可能没有为提供的凭据授予足够的访问权限。请确保所使用的凭据具有足够的权限来执行所需的操作。
服务器配置问题：Exchange服务器可能未正确配置以允许通过SOAP调用进行访问。请确保服务器已正确配置，并且允许使用php-ews进行访问。

为了解决这个问题，可以采取以下步骤：

检查凭据：确保在SOAP调用中提供了正确的用户名和密码，并且凭据是有效的。
检查访问权限：确认所使用的凭据具有足够的权限来执行所需的操作。可以联系Exchange服务器管理员来获取更多关于访问权限的信息。
检查服务器配置：确保Exchange服务器已正确配置以允许通过SOAP调用进行访问。可以参考Exchange服务器的文档或联系服务器管理员来获取更多关于配置的信息。

腾讯云相关产品推荐：

云服务器（CVM）：腾讯云提供的弹性计算服务，可用于部署和运行应用程序。产品介绍链接：https://cloud.tencent.com/product/cvm
云数据库MySQL版（CDB）：腾讯云提供的高性能、可扩展的关系型数据库服务，适用于存储和管理数据。产品介绍链接：https://cloud.tencent.com/product/cdb_mysql
云存储（COS）：腾讯云提供的安全、稳定、低成本的对象存储服务，适用于存储和管理大量非结构化数据。产品介绍链接：https://cloud.tencent.com/product/cos

请注意，以上推荐的产品仅作为参考，具体选择应根据实际需求和情况进行。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Exchange EWS接口的利用

最近出来了几个Exchange preauth的漏洞，有Proxylogon、Proxyshell。简单看了下，本质都是SSRF，然后通过SSRF调用一些需要授权的接口进行GetShell。如果不进行GetShell，又或者是GetShell失败时，如何利用上面的SSRF去获取邮件内容等操作，又或者只有NTLM HASH时，无法解密出密码时，如何依然去做同样的Exchange的操作。

02

技术讨论之Exchange后渗透分析

上回我们说到，通过ruler可以给已知用户名、口令的用户增加规则，从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。那么问题来了，如果不知道该用户的口令，能否控制他们的主机呢？

02

Exchange漏洞攻略来啦！！

在渗透测试中,当进行信息收集与环境侦察时,发现与识别 Exchange 及其相关服务,可以有多种方法与途径。

02

网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

在渗透测试中，往往会遇到企业内网环境中使用的一些常用组件，这些组件对内或对外提供了服务与接口，也给渗透测试人员与黑客提供了新的可尝试的攻击面，合理的利用组件服务提供的功能和接口，可以帮助渗透测试人员完成信息收集、环境侦测，甚至通过其漏洞弱点、配置缺陷、功能滥用直接拿下权限，在渗透测试与后渗透阶段达到事半功倍的效果。 Windows Exchange Server，应该是国内外应用都非常广泛的邮件服务器了，本文将围绕Exchange展开，介绍在渗透测试中对Exchange服务器的攻击利用。

02

Microsoft Exchang—权限提升

本文由网友无名翻译自”https://pentestlab.blog/2019/09/16/microsoft-exchange-privilege-escalation/“

04

针对exchange的攻击方式

在exchange 2010中，exchange包含五个服务器角色，分别为邮箱服务器，客户端访问服务器，集线传输服务器，统一消息服务器，边缘传输服务器。在后来的exchange 2013中服务器被精简为3个：邮箱服务器，客户端访问服务器，边缘传输服务器 exchange 2016和2019中则只有邮箱服务器和边缘传输服务器了。

02

转一些Exchange Web Services开发的资料

无意间看到的，却正好能满足当前的发送邮件的需求，利用公司的Exchange服务器，既安全有方便。

02

Microsoft Exchange - 权限提升

在红队操作期间收集域用户的凭据可能导致执行任意代码，持久性和域升级。但是，通过电子邮件存储的信息对组织来说可能是高度敏感的，因此威胁行为者可能会关注电子邮件中的数据。这可以通过向目标用户的邮箱添加规则来实现，该规则将电子邮件转发到攻击者控制的收件箱，或者将邮箱的访问权委托给他们的Exchange帐户。

03

CVE-2021-42321 - Microsoft Exchange Server 远程代码执行漏洞

攻击者经过身份验证后，可在受影响的机器上进行远程代码执行。此漏洞影响本地 Exchange Server，包括用户在 Exchange 混合模式下使用的服务器。该漏洞目前已发现在野利用。

07

轻松理解 NTLM 协议工作流程

NTLM 使用在 Windows NT 和 Windows 2000 Server(or later)工作组环境中(Kerberos 用在域模式下)。

01

探索RESTful API开发，构建可扩展的Web服务

当我们浏览网页、使用手机应用或与各种互联网服务交互时，我们经常听到一个术语：“RESTful API”。它听起来很高深，但实际上，它是构建现代网络应用程序所不可或缺的基础。

00

红队和蓝队都关心的东西在这儿了

原文来自雷神众测，然后是整理自github的一个项目redteam_vul，这份系统漏洞清单还是很详实的，具有一定的参考意义，当然，要是有poc就更美了

02

MICROSOFT EXCHANGE – 防止网络攻击

Microsoft Exchange 服务器是威胁参与者的常见目标，不仅因为它们提供了多个入口点，而且因为它们在绑定到 Active Directory 时提供了持久性和域升级的机会。通过 Exchange 连接破坏组织的域可能成为一项微不足道的任务，尤其是在缺少许多安全控制的情况下。

01

前端妹子聊HTTP协议

超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。

02

警告：新的攻击活动利用了 MICROSOFT EXCHANGE SERVER 上的一个新的 0-DAY RCE 漏洞

大约在 2022 年 8 月初，在进行安全监控和事件响应服务时，GTSC SOC 团队发现关键基础设施受到攻击，特别是针对他们的 Microsoft Exchange 应用程序。在调查过程中，GTSC蓝队专家确定此次攻击利用了未公开的Exchange安全漏洞，即0day漏洞，因此立即提出了临时遏制方案。同时，红队专家开始研究调试Exchange反编译代码，寻找漏洞利用代码。感谢发现前 1 天 Exchange 漏洞的经验，RedTeam 对 Exchange 的代码流程和处理机制有深入的了解，因此减少了研究时间，并迅速发现了漏洞。事实证明，该漏洞非常严重，以至于攻击者可以在受感染的系统上执行 RCE。GTSC 立即将该漏洞提交给零日倡议 (ZDI) 以与 Microsoft 合作，以便尽快准备补丁。ZDI 验证并确认了 2 个漏洞，其 CVSS 分数分别为 8.8 和 6.3，关于漏洞利用如下。

02

webservice接口与HTTP接口的使用以及区别

Web 是使应用程序可以与平台和编程语言无关的方式进行相互通信的一项技术。Web 服务是一个软件接口，它描述了一组可以在网络上通过标准化的 XML 消息传递访问的操作。它使用基于 XML 语言的协议来描述要执行的操作或者要与另一个 Web 服务交换的数据。一组以这种方式交互的 Web 服务在面向服务的体系结构（Service-Oriented Architecture，SOA）中定义了特殊的 Web 服务应用程序。

02

如何解决常见的 HTTP 错误代码

访问 Web 服务器或应用程序时，服务器收到的每个 HTTP 请求都会以 HTTP 状态代码进行响应。HTTP 状态代码是三位数代码，分为五个不同的类别。状态代码的类别可以通过它的第一个数字快速识别：

02

Microsoft Exchange Server 远程代码执行

# 此模块需要 Metasploit：https://metasploit.com/download

04

使用静态IP代理发生“401”错误代码是什么原因？如何解决？

在网络代理中，静态IP代理是一种常用的代理方式，然而，有时使用静态IP代理时可能会出现401错误，本文将探讨这种情况的原因。

03

什么是REST API

原文链接：https://www.sitepoint.com/rest-api/[1]

02

从0开始构建一个Oauth2Server服务 <24> 资源服务器

资源服务器是 API 服务器的 OAuth 2.0 术语。资源服务器在应用程序获得访问令牌后处理经过身份验证的请求。

03

【RESTful】RESTful API 接口设计规范 | 示例

参考官方文档：https://tools.ietf.org/html/rfc2616

02

Windows Server 2008 R2 配置Exchange 2010邮件服务器并使用EWS发送邮件

配置环境配置环境完全在此前一篇文章搭建好的环境下进行配置： http://www.cnblogs.com/zhongweiv/archive/2013/01/04/win2008_addomain_configuration.html Windows版本：Windows Server 2008 R2 Enterprise Service Pack 1 系统类型： 64 位操作系统所在域： adserv.com E

08

5个REST API安全准则

当开发REST API时，从一开始就必须注意安全方面。 REST是通过URL路径元素表达系统中特定实体的手段。REST不是一个架构，而是一种在Web上构建服务的架构风格。 REST允许通过简单的URL（而不是复杂的请求主体或POST参数）与基于web的系统交互。 1 - 授权（1）保护HTTP方法 RESTful API通常使用GET（读），POST（创建），PUT（替换/更新）和DELETE（删除记录）。对于每个资源并非都要提供所有这些操作。必须确保传入的HTTP方法对于会话令牌/API密

01

PHP与API讲解（一）

API代表应用程序编程接口，而接口指的是一个特定的服务、一个应用程序或者其他程序的公共模块。

03

HTTP 响应状态码全解

HTTP 状态代码或响应码共分为五类，分别是 1×× 提示信息，2×× 成功，3×× 重定向，4×× 客户端错误，5×× 服务器错误。

03

在CVM上搭建网页服务器（LNMP）

LNMP是一组可用于为动态网页和Web应用程序提供服务的软件。这是一个描述Linux操作系统的首字母缩略词，带有Nginx（发音为“ Engine-X”）Web服务器。后端数据存储在MySQL数据库中，动态处理由PHP 处理。

06

Exchange邮箱地址导出

本篇文章我们主要介绍MailSniper的几个模块(Get-GlobalAddressList、Invoke-PasswordSprayOWA、Invoke-PasswordSprayEWS)在渗透中的应用

01

Oracle人力资源管理系统PeopleSoft未授权远程代码执行漏洞解析

几个月前，我有幸参与几个Oracle PeopleSoft建设项目的安全审计，审计对象主要为PeopleSoft系列的人力资源管理系统（HRMS）和开发工具包（PeopleTool）。纵观网上关于PeopleSoft的安全资料，除了几个无法证实的CVE漏洞参考之外，就只有ERPScan在两年前HITB会议的一个信息量极大的演讲。根据ERPScan的演讲PDF我发现，尽管网上鲜有PeopleSoft的安全信息，但它其实漏洞重重。仅从我随手的安全测试来看，PeopleSoft应用程序包含很多不经验证授权的

06

Exchange中限制部分用户外网访问

最近遇到一个需求，公司某业务部门需要让本部门一部分员工不能通过公网使用Exchange邮件系统。然后，公司邮件系统是发布公网使用的，要直接限制部分员工不能外网访问有一定的困难，经过讨论想到了两个解决方案。

01

前端开发面试题答案(五)

网站重构：在不改变外部行为的前提下，简化结构、添加可读性，而在网站前端保持一致的行为。

02

渗透测试TIPS之Web（一）

3、一个不错的OSINT工具框架网址：http://osintframework.com/

02

由 webdav 功能引发的 RCE

再开始今天的内容之前，首先理解一个东西 WebDav，WebDAV （Web-based Distributed Authoring and Versioning）一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

03

HTTP详解(2)-请求、响应、缓存

做过Socket编程的人都知道，当我们设计一个通信协议时，“消息头/消息体”的分割方式是很常用的，消息头告诉对方这个消息是干什么的，消息体告诉对方怎么干。HTTP协议传输的消息也是这样规定的，每一个HTTP包都分为HTTP头和HTTP体两部分，消息体是可选的，而消息头是必须的。每当我们打开一个网页，在上面点击右键，选择“查看源文件”，这时看到的HTML代码就是HTTP的消息体，那么消息头可以通过浏览器的开发工具或者插件可以看到，如果火狐的Firebug，IE的Httpwatch。

03

解决问题method DESCRIBE failed: 401 Unauthorized

最近在进行网络应用开发过程中，遇到了一个问题：当尝试使用DESCRIBE方法请求数据时，出现了401 Unauthorized的错误。本文将介绍该问题的原因，并提供解决方案，帮助读者快速解决相关的错误。

01

[接口测试_B] 11 requests的身份认证方式（文末附有系列文章）

参考文章：https://blog.csdn.net/jansony1/article/details/52430577

02

C#进阶-实现邮箱收发功能

在C#中，发送邮件是一项常见的任务，通常用于实现自动化通知、报警和与用户进行交互等场景。C#提供了多种发送邮件的方式，主要方式包括SMTP协议、POP3协议、IMAP协议、Exchange服务器等。使用这些方式，开发人员可以灵活地发送和接收邮件，满足各种应用场景的需求。

01

[红日安全]Web安全Day4 - SSRF实战攻防

大家好，我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖）-实战演练（主要选择相应CMS或者是Vulnhub进行实战演练)，如果对大家有帮助请Star鼓励我们创作更好文章。如果你愿意加入我们，一起完善这个项目，欢迎通过邮件形式（sec-redclub@qq.com）联系我们。

05

Linux服务.NO6——http协议

http协议即超文本传输协议，用于从万维网服务器传输超文本到本地浏览器的传送协议。 http是基于TCP/IP通信协议来传递数据的一个属于应用层的面向对象的协议。http协议工作于c/s架构，浏览器作为客户端通过url向http服务端（即web服务器）发送所有请求，web服务器根据受到的请求后，向客户端发送响应。

02

漏洞库（值得收藏）

SQL注入漏洞风险等级：高危漏洞描述： SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全风险，这就是SQL Injection，即SQL注入漏洞。漏洞危害：机密数据被窃取；核心业务数据被篡改；网页被篡改；数据库所在服务器被攻击从而变为傀儡主机，导致局域网(内网)被入侵。修复建议：在网页代码中对用户输入的数据进行严格过滤；（代码层）部署Web应用防火墙；（设备层）对数据库操作进行监控。（

05

2021-07-08总结

IOC (inversion of controller) 叫做控制反转模式，也可以称为 (dependency injection ) 依赖注入模式。要理解依赖注入的概念我们先理解下什么依赖

02

HTTP POST GET 本质区别详解

一般在浏览器中输入网址访问资源都是通过GET方式；在FORM提交中，可以通过Method指定提交方式为GET或者POST，默认为GET提交

02

OWASP Top 10关键点记录

注入攻击漏洞，例如SQL，OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。

00

前端基础——谈谈HTTP

•POST：向指定资源提交数据进行处理请求（提交表单、上传文件），又可能导致新的资源的建立或原有资源的修改；

03

HTTP协议

200 OK：客户端请求成功 301 redirect：页面永久性移走，服务器进行重定向跳转； 302 redirect：页面暂时性移走，服务器进行重定向跳转，具有被劫持的安全风险； 400 BadRequest：由于客户端请求有语法错误，不能被服务器所理解； 401 Unauthonzed：请求未经授权。这个状态代码必须和WWW-Authenticate报头域一起使用； 403 Forbidden：服务器收到请求，但是拒绝提供服务。服务器通常会在响应正文中给出不提供服务的原因，一般来说是服务器策略基于安全考虑拒绝提供访问； 404 NotFound：请求的资源不存在，例如，输入了错误的URL； 500 InternalServerError：服务器发生不可预期的错误，导致无法完成客户端的请求； 503 ServiceUnavailable：服务器当前不能够处理客户端的请求，在一段时间之后，服务器可能会恢复正常；

02

REST API 设计最佳实践：如何构建、设计和使用 API ？

总的来说，HTTP协议出现以来Web服务也就存在了。但是，自从云计算出现后，才成为实现客户端与服务和数据交互的普遍方法。

04

你所不知道的NTLM Relay

NTLM Relay其实严格意义上并不能叫NTLM Relay，而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步，在 Type3 Response消息中存在Net-NTLM Hash，当攻击者获得了Net-NTLM Hash后，可以进行中间人攻击，重放Net-NTLM Hash，这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。

02

发送HTTP请求

可以创建%Net.HttpRequest的实例来发送各种HTTP请求并接收响应。此对象相当于Web浏览器，可以使用它发出多个请求。它会自动发送正确的cookie，并根据需要设置Referer标头。

01

API接口安全问题浅析

随着互联网的快速发展，应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式，然而API接口的广泛使用也引发了一系列的安全问题，在当今数字化时代，API接口安全问题的重要性不容忽视，恶意攻击者利用漏洞和不当的API实施，可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁，本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战，还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施

01

从零开始编写一个WEB服务器 - 基础

WEB服务器是解析HTTP协议并根据HTTP请求的信息提供服务的应用程序，所以要编写一个WEB服务器首先需要了解HTTP协议。HTTP协议是 Hyper Text Transfer Protocol（超文本传输协议）的缩写，是一个基于TCP/IP协议来传递数据的应用层协议，下面简单介绍一下HTTP协议的文法。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭