首页
学习
活动
专区
圈层
工具
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

MICROSOFT EXCHANGE – 防止网络攻击

下图演示了威胁参与者实施的真实世界攻击,目的是通过滥用 Exchange 服务、Exchange API 和标准 Outlook 功能来实现完全的域入侵。...: Outlook Web 访问 (OWA) 交换网络服务 (EWS) Exchange ActiveSync (EAS) 所有这些服务都创建了一个攻击面,威胁参与者可以通过进行可能导致发现合法凭据、访问用户邮箱和执行域升级的攻击而受益...为所有暴露的服务(如 Outlook Web Access、Exchange Web 服务和 ActiveSync)启用 2 因素身份验证将防止威胁参与者: 访问用户邮箱并收集敏感数据 以更高的成功率进行内部网络钓鱼攻击...-EWSMaxSubscriptions 0 Restart-WebAppPool -Name MSExchangeServicesAppPool 将不允许尝试通过使用 Exchange API...或者,如果需要身份验证,可以将 Microsoft Exchange 配置为拒绝所有域帐户的传入 NTLM 流量。

4.2K10

Exchange邮箱地址导出

,如果我们可以成功找到其中的任何一个有效的凭证并且该组织有Outlook Web Access或Exchange Web服务门户,那么此时的我们可以从Exchange服务器上下载整个全球通讯薄 Get-GlobalAddressList...3或更高版本,对于Exchange版本低于2013的情况,Get-GlobalAddressList会回退到从Exchange Web服务枚举GAL,由于EWS一次只允许你搜索100个结果,这种方法可能会花费更长的时间...,为了绕过这个限制,我基本上通过ZZ搜索AA,然后对结果进行sort/uniq,如果要使用它,只需要将模块导入到PowerShell Version3会话中,然后运行如下内容: Get-GlobalAddressList...,而是对多个用户帐户尝试一个密码,这有助于避免帐户锁定并且仍然会导致我们获得有效的凭据,因为用户仍然会选择像"Fall2016"这样的密码,在使用脚本时我们只需传递-Threads选项并指定线程数量(15...,Invoke-PasswordSprayOWA和使用15个线程的Burp Intruder都用了大约1小时45分钟来完成对10,000个用户的喷涂,而向EWS喷洒同样的用户名单只用了9分28秒

1.3K10
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Microsoft Exchange - 权限提升

    0x01:电子邮件转发 从Outlook Web Access(OWA)门户访问受感染的帐户并选择收件箱文件夹的权限将打开一个包含邮箱权限的新窗口。 ?...添加目标帐户的权限 在浏览器中打开网络控制台并浏览邮箱文件夹将生成将发送到Microsoft Exchange服务器的请求。 ?...电子邮件自动转发 已通过使用NTLM中继对Exchange进行身份验证,为目标帐户创建了一条规则,该规则将所有电子邮件转发到另一个收件箱。这可以通过检查目标帐户的收件箱规则来验证。 ?...权限提升脚本 - 委派完成 需要使用Outlook Web Access进行身份验证才能查看委派的邮箱。 ?...Outlook Web Access身份验证 Outlook Web Access具有允许Exchange用户在拥有权限的情况下打开另一个帐户的邮箱的功能。 ?

    2.9K30

    Exchange漏洞攻略来啦!!

    2、特殊接口爆破 对于某些限制登录次数的网站,还可以尝试对其NTLM验证接口进行爆破,最常见的就是ews接口,但除ews接E以外,还有以下接口地址。.../Exchange.asmx /EWS/Services.wsdl /EWS/ /OAB/ /Mapi API接口 说明 /autodiscover 自 Exchange Server 2007 开始推出的一项自动服务...因此,并不推荐使用。 2、通过 Exchange Web Service(EWS) 通过EWS接口,可以实现客户端与服务端之间基于HTTP的SOAP交互。...Outlook 收件箱主页指向的 URL 在 Outlook 中通过 iframe 标签加载,其执行 wscript 或 vbscript 受沙箱环境限制,无法使用脚本代码创建敏感的恶意对象,即无法直接通过...,利用合法的邮箱凭证向服务端写入收件箱主页URL属性,当用户使用 Outlook 并从 Exchange 服务端同步该设置时,其随后对收件箱的刷新浏览将触发加载恶意网页,并执行恶意代码。

    6.8K20

    网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

    Exchange Server是一种本地化部署的形式,除此之外还有以SaaS的在线服务模式,这两种部署模式即各种文档或资料中常说的Exchange On-premise和Exchange Online,...Exchange Web Service(EWS,SOAP-over-HTTP) Exchange提供了一套API编程接口可供开发者调用,用于访问Exchange服务器,与邮件、联系人、日历等功能进行交互和管理操作...Outlook收件箱主页指向的URL在Outlook中通过iframe标签加载,其执行wscript或vbscript受沙箱环境限制,无法使用脚本代码创建敏感的恶意对象,即无法直接通过CreateObject...从而逃出Outlook沙箱的限制,接着,就可以直接通过Outlook应用程序对象调用CreateObject方法,来创建新的应用程序对象Wscript.Shell,执行任意命令。...URL属性,当用户使用Outlook并从Exchange服务端同步该设置时,其随后对收件箱的刷新浏览将触发加载恶意网页,并执行恶意代码。

    4.4K20

    xHunt:针对科威特的网络攻击分析

    基于电子邮件的C2通信功能依赖于Exchange Web服务(EWS),攻击者通过Exchange服务器上的合法帐户与Hisoka通信。同时,Hisoka恶意软件和攻击者通过创建电子邮件草稿交换数据。...使用电子邮件草稿以及相同的合法交换帐户进行通信,将不会检测到出站或入站收到的电子邮件。...为了启用基于电子邮件的C2通道,攻击者执行命令:–E EWS,并提供如下数据: ;;exchange server>;exchange版本...要发出命令时攻击者将登录到同一帐户,并创建主题为“project”的草稿和精心编制的消息正文,其中包含加密字符串的命令。...与2018年活动关联 在确定了Hisoka和Sakabota之间的关系之后,搜索并找到了几个Sakabota样本,所有这些样本都使用域pasta58[.]com作为其C2服务器。

    1K30

    Autodiscover漏洞分析

    通常Microsoft Exchange使用Autodiscover协议配置客户端(如Microsoft Outlook),但它有一个设计缺陷,可导致web请求泄露至域外。...Microsoft的Autodiscover协议旨在简化Exchange客户端(如Microsoft Outlook)配置,使用户能够仅通过用户名和密码来配置客户端,而用户配置的登录到Exchange的凭证基本上都是域凭证...用户向Outlook添加新的Microsoft Exchange帐户,用户需要输入用户名和密码: 用户填写详细信息后,Outlook将尝试使用Autodiscover来配置客户端。...4、服务器验证用户并返回请求的资源。...客户端在收到服务器的HTTP 401响应后成功降级并发送认证信息: 当受害者被重定向到研究人员的服务器时,会弹出一个安全警报: 虽然证书有效,但它是自签名的,但是部署实际的SSL证书,可以轻松避免这种情况

    2.2K20

    技术讨论之Exchange后渗透分析

    上回我们说到,通过ruler可以给已知用户名、口令的用户增加规则,从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。...读取邮件的代码需要用 C# 进行编写,使用 EWS Managed API 开发 https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services...首先要弄清楚的是这6个请求之间的逻辑关系,即在发送后一个请求之前需要从前一个请求当中获取什么信息。 执行ruler并加上 --verbose 参数 $ ....UserAgent当中有使用的Outlook版本以及.NET版本、Windows版本、解析html的ie库版本。其中Trident标签在IE8之后都存在,并且是使用的IE浏览器版本号减4。...16.0.4266) Host: 192.168.110.100:8000 Connection: Keep-Alive 也就是说修改了用户HomePage之后可以获得对方使用的 Outlook 软件版本信息

    1.9K20

    Windows 商店应用中使用 Office 365 API Tools

    值得庆幸的是我们还有另外一套神器:SharePoint REST API (REST API reference and samples)。...SharePoint为我们提供了一套标准的 REST API,利用它我们可以通过网络请求的方式来读取和更新数据。读取数据还算简单,只需要拼接 API 地址和解析 json / XML 数据就可以了。...但是操作数据就比较麻烦了,拼接需要 POST 的内容是一件说起来很容易,但很繁琐的工作。而且更让人头疼的是 SharePoint Online 的认证方式。...(关于 REST API 的使用,我会在随后的文章中介绍,这里只是让大家感受一下使用的感受。)所以相对以对象模型,我们需要做的工作也多了不少。...下一篇我们将对前面提到的 SharePoint 2013 REST API 做出详细介绍,谢谢!

    3.5K100

    可能是Salesforce与Microsoft Dynamics 365的最全面的比较

    此版本的用户可以使用全部Dynamics的功能,没有限制。 数据中心和状态 Salesforce Salesforce的服务器位于多个顶级全球数据中心。...Salesforce Enterprise和Unlimited具有多个API。 API包括SOAP Web服务,REST,批量API和元数据API。...包含Lightning Enterprise,开发人员沙盒可以创建为生产环境的快照,但沙盒不会继承生产数据。它有200 MB的存储限制。完整的沙盒可以继承所有数据,可以在企业版及更高版本上使用。...用于同步联系人和事件的Lightning Sync可用于Microsoft Exchange和G Suite。...有了这个插件,Outlook内部就可以使用Microsoft Dynamics 365的全部功能。 ? 用户可以自动跟踪Outlook中的所有电子邮件和约会。

    6.5K40

    比特币与130多种山寨币的数字货币开源交易库CCXT(CryptoCurrency eXchange)

    并使用适合你环境的语言扩展名。...这通常意味着注册交易并使用你的帐户创建API密钥。大多数交易所需要个人信息或身份证也可能需要某种验证。如果你想交易,你需要自己注册,此库不会为你创建帐户或API密钥。...一些交易API公开了用于在代码本身内注册帐户的接口方法,但大多数交易不会。你必须在其网站上注册并创建API密钥。...私有API允许以下内容: 管理个人帐户信息 查询帐户余额 通过制造市场和限价订单进行交易 存入和取出法定和加密资金 查询个人订单 获得总账历史 在账户之间转移资金 使用商家服务 此库为所有交换实现完整的公共和私有...REST API。

    2.1K10

    腾讯安全威胁情报中心推出2024年2月必修安全漏洞清单

    临时缓解方案 - 建议使用安全防护类设备进行防护,重点关注/api/schema-designer/*相关路径 - 在不影响正常系统功能和业务的前提下,避免开放至公网。...通过与Exchange服务器、Office 365和其他邮件服务提供商的无缝集成,Outlook使得个人和团队在任何设备上都能轻松地进行沟通和协作。...据描述, 使用file://协议并且在文档扩展名后添加感叹号可以绕过Outlook的安全限制。...通过支持多种客户端访问方式,如Outlook客户端、Web浏览器和移动设备,Exchange Server为企业提供了高效、安全和易于管理的通信解决方案。...据描述,该漏洞源于Exchange Server存在代码缺陷,未经身份验证的攻击者可以将泄露的NTLM凭据中继到Exchange服务器,最终以该用户的身份进行认证并获取该用户权限。

    46510

    office2010软件下载安装教程--office全版本软件安装包office软件哪个版本好用

    添加电子邮件帐户:在Outlook中,可以添加多个电子邮件帐户,例如Gmail、Outlook.com、Exchange等。单击“文件”选项卡,然后选择“添加帐户”来添加新的电子邮件帐户。...接收和发送邮件:在Outlook中,可以使用“收件箱”文件夹来接收和查看所有收到的电子邮件。可以使用“发送邮件”按钮来编写和发送新邮件。...组织邮件:可以使用Outlook的文件夹、标记、分类和筛选工具来组织和管理邮件。例如,可以将邮件移动到不同的文件夹中,使用颜色分类来标记重要邮件,或者使用搜索工具来查找特定邮件。...清理邮箱:可以使用Outlook的清理工具来删除不需要的邮件、附件和文件夹。...了解5G网络的高速、低延迟和大容量等特点,以及如何应用于不同的领域,如智能制造、智能医疗等。 确认使用5G网络的场景:确定您需要使用5G网络的场景和应用,例如,远程协作、视频会议、云存储等。

    3.9K30

    bitfinex币 接口翻译整理

    接口翻译会持续更新 bitfinex的地址:https://bitfinex.readme.io/v1/reference#rest-public-ticker 接口通用加密方式 JSONObject.../v1/account_fees 接口说明 查看适用于您的提款的费用 接口参数 无 返回参数样例 { "withdraw":{ "BTC": "0.0005", "LTC": 0,...(限制订单不可销售,百分比) "taker_fee":0.002// 你目前的接受订单费用(可上市订单,百分比) } 存款(Deposit) 接口地址 https://api.bitfinex.com...":"exchange", "currency":"btc", "amount":"1", "available":"1" }] 请求次数限制:20次/min 钱包余额相互转让(Transfer...在某些情况下,您的银行需要使用中介银行,如果是这种情况,请提供这些字段。 通过API提交纹波提取时,您应该在payment_id字段中包含tag

    1.1K20

    C# 实现腾讯云 IM 常用 REST API 之帐户管理

    关于腾讯 IM REST API REST API 是腾讯即时通信 IM 提供给服务端的一组 HTTP 后台管理接口,如消息管理、群组管理、用户管理、会话管理等等。...REST API 接口较为原始,管理能力强大。另外,为了安全性,REST API 仅提供 HTTPS 接口。...开发前准备 (1)开发前需要申请 SDK 开发者 ID 及密钥,如何获取请参照如下链接: 腾讯IM即时通信控制台 (2)调用 REST API 之前,需要生成 UserSig ,UserSig 是用户登录即时通信...API URL 地址并 POST 数据,以获取返回结果 Json 的功能。...具体实现请参照我的文章《C# 实现访问 Web API Url 提交数据并获取处理结果》 范例运行环境 操作系统: Windows Server 2019 DataCenter .net版本: .netFramework4.0

    15010

    恶意软件分析:xHunt活动又使用了新型后门

    虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。...TriFive和Snugy后门本质上是PowerShell脚本,可以帮助攻击者访问被入侵的Exchange服务器,并使用不同的C2信道来进行通信。...TriFive后门使用的是一个基于电子邮件的信道,这个信道可以使用Exchange Web服务(EWS)在被入侵的电子邮件帐号的已删除邮件夹中创建邮件草稿。...TriFive样本使用了目标组织的合法帐户名和凭据,这也表明在安装TriFive后门之前,攻击者已成功窃取了目标的账户凭证。...为了向后门发出命令,攻击者需要登录到同一个合法的电子邮件帐户并创建一个主题为555的电子邮件草稿,其中就包括了加密和Base64编码格式的命令。

    2.4K10

    警告:新的攻击活动利用了 MICROSOFT EXCHANGE SERVER 上的一个新的 0-DAY RCE 漏洞

    感谢发现前 1 天 Exchange 漏洞的经验,RedTeam 对 Exchange 的代码流程和处理机制有深入的了解,因此减少了研究时间,并迅速发现了漏洞。...- GTSC Redteam 成功地弄清楚了如何使用上述路径访问 Exchange 后端中的组件并执行 RCE。但是目前,我们还不想发布该漏洞的技术细节。...后利用 在成功掌握漏洞利用后,我们记录了攻击以收集信息并在受害者的系统中建立立足点。攻击团队还使用各种技术在受影响的系统上创建后门,并对系统中的其他服务器进行横向移动。.../owa/auth/webcccsd/ https://*:444/ews/auto/ https://*:444/ews/web/api/ 受害者 2:...,以避免潜在的严重损害。

    1.2K20

    影响范围超过SolarWinds!微软漏洞影响三万家美国机构

    Exchange作为微软推出的一款流行的电子邮件功能,在各大企业中都得到了广泛的应用,其漏洞造成的影响范围自然也不容小觑。不少公司当机立断安排运维人员连夜打补丁,以避免重大损失。 ?...尽管微软在发布Exchange漏洞补丁时强调,该漏洞并没有影响到运行其Exchange Online服务(微软为企业提供的云端托管电子邮件)的客户。...但有消息称,目前受害的绝大多数组织都在内部运行某种形式的面向互联网的微软Outlook Web Access(OWA)电子邮件系统与Exchange服务器串联。...Safety Scanner独立工具中,以帮助组织找到并删除这些攻击中使用的Web Shell。...事件还在持续发酵中,其最终的影响如何,还有看后续披露。但有专家预测,此次事件最终所造成的损失很可能超过SolarWinds。

    52510
    领券