作者:斗象能力中心 TCC – Cody
來源:https://blog.riskivy.com/exchange-server-in-pentest/?from=timeline&isappinstalled=0
前言:
在滲透測試中,往往會遇到企業內網環境中使用的一些常用組件,這些組件對內或對外提供了服務與接口,也給滲透測試人員與黑客提供了新的可嘗試的攻擊面,合理的利用組件服務提供的功能和接口,可以幫助滲透測試人員完成信息收集、環境偵測,甚至通過其漏洞弱點、配置缺陷、功能濫用直接拿下權限,在滲透測試與后滲透階段達到事半功倍的效果。
Windows Exchange Server,應該是國內外應用都非常廣泛的郵件服務器了,本文將圍繞Exchange展開,介紹在滲透測試中對Exchange服務器的攻擊利用。
正式開始之前,我們先對Exchange相關的一些概念與基礎知識進行梳理簡介,便於對Exchange有簡單初步的了解。
本文實驗環境:
- 域環境:fb.com
- 域控:10.0.83.93,masterdc,Windows 2012 R2
- Exchange服務器:10.0.83.94,test2k12,Windows 2012 R2,安裝Exchange Server 2013 SP1
- 域內工作機:10.0.83.80,testwin7,Windows 7,安裝Outlook 2013 SP1
一、初識Exchange
Microsoft Exchange Server is a mail server and calendaring server developed by Microsoft. It runs exclusively on Windows Server operating systems. —— wikipedia
如維基百科對Exchange Server的描述,Exchange是由微軟推出的用於企業環境中部署的郵件服務器。微軟對外發布的第一個Exchange版本是Exchange 4.0,最開始Exchange使用X.400目錄服務,隨後轉向使用微軟的活動目錄,最開始的時候微軟還提供了Microsoft Exchange Client,即Exchange郵件客戶端,隨後被Outlook取代,時至今日,微軟已經發布了10個大版本號的Exchange,今年10月份,微軟推出了最新版本的Exchange Server 2019。在不同的企業環境中部署使用的Exchange版本不一,各版本提供的架構、功能、服務、接口都各有不同,本文將以Exchange Server 2013為例展開敘述。
Exchange Server是一種本地化部署的形式,除此之外還有以SaaS的在線服務模式,這兩種部署模式即各種文檔或資料中常說的Exchange On-premise和Exchange Online,另外,Exchange還支持本地化部署與雲端部署共存的部署方式,即混合部署(Exchange Hybrid)。
1.郵件服務器角色(Server Role)
Exchange是一個功能完整而龐大的郵件服務器,實際上Exchange背負的不僅僅是傳統的郵件收發處理、郵件路由等基本的郵件功能,在微軟背景下Exchange與活動目錄域服務、全局編排目錄及其他微軟相關服務和組件也有着眾多聯繫。Exchange郵件服務器在企業環境中使用佔比非常高,其通過劃分不同的服務器角色、執行各自的組件和服務以及相互之間的依存調用使得郵件處理形成一個強大、豐富、穩定、同時又複雜的過程。Exchange在邏輯上分為三個層次:網絡層(network layer)、目錄層(directory layer)、消息層(messaging layer),服務器角色正是在消息層上的一個細分。
Exchange Server 2013包含三個服務器角色,我們往前推進一個版本到Exchange Server 2010,來介紹Exchange服務器角色的演變和功能簡述。
Exchange Server 2010包含五個服務器角色,分別是郵箱服務器(mailbox server)、集線傳輸服務器(hub transport server)、客戶端訪問服務器(client access server)、邊緣傳輸服務器(edge transport server)、統一消息服務器(unified messaging server),除了邊緣傳輸服務器以外其他角色都可以在同一台主機上進行部署添加,其中郵箱服務器、集線傳輸服務器、客戶端訪問服務器是核心服務器角色,部署這三個角色就能提供基本的郵件處理功能。
- 郵箱服務器(mailbox server):該角色是提供託管郵箱、公共文件夾以及相關的消息數據(如地址列表)的後端組件,是必選的服務器角色。
- 客戶端訪問服務器(client access server):接收和處理來自於不同客戶端的請求的中間層服務器角色,該角色服務器提供了對使用不同協議進行訪問的支持,每個Exchange環境中至少需要部署一個客戶端訪問服務器,客戶端訪問服務器提供了對以下不同接口訪問Exchange服務器的處理。
MAPI訪問
POP3和IMAP4訪問
Outlook Web App訪問(OWA)
Outlook Anywhere訪問
Autodiscover自動發現服務
可用性服務- 集線傳輸服務器(hub transport server):或稱中心傳輸服務器,該服務器角色的核心服務就是Microsoft Exchange Transport,負責處理Mail Flow(這又是Exchange中的一大知識點,Exchange管理員需要通過MailFlow實現郵件出站與進站配置)、對郵件進行路由、以及在Exchange組織中進行分發,該服務器角色處理所有發往屬於本地郵箱的郵件和發往外部郵箱的郵件,並確保郵件發送者和接收者的地址被正確解析並執行特定策略(如郵件地址過濾、內容過濾、格式轉換等),同時,還可以進行記錄、審計、添加免責聲明等,正如Hub transport的含義,該服務器角色相當於一個郵件傳輸的中繼站點,每個Exchange環境中至少需要部署一個集線傳輸服務器。
- 統一消息服務器(unified messaging server):將專用交換機(private branch exchange/PBX) 和Exchange Server集成在一起,以允許郵箱用戶可以在郵件中發送存儲語音消息和傳真消息,可選角色。
- 邊緣傳輸服務器(edge transport server):該服務器角色作為專用服務器可以用於路由發往內部或外部的郵件,通常部署於網絡邊界並用於設置安全邊界。其接受來自內部組織的郵件和來自外部可信服務器的郵件,然後應用特定的反垃圾郵件、反病毒策略,最後將通過策略篩選的郵件路由到內部的集線傳輸服務器,可選角色。
在Exchange Server 2013中,服務器角色精簡為三個,分別是郵箱服務器、客戶端訪問服務器和邊緣傳輸服務器,其中郵箱服務器角色和客戶端訪問服務器角色通常被安裝在同一台服務器中。
- 郵箱服務器:負責認證、重定向、代理來自外部不同客戶端的訪問請求,主要包含客戶端訪問服務(Client Access service)和前端傳輸服務(Front End Transport service)兩大組件。
- 客戶端訪問服務器:託管郵箱、公共文件夾等數據,主要包含集線傳輸服務(Hub Transport service)和郵箱傳輸服務(Mailbox Transport service)兩大組件服務。
- 邊緣傳輸服務器:負責路由出站與入站郵件、策略應用等。
在Exchange Server 2016和2019中,只有兩種服務器角色,分別是郵箱服務器和邊緣傳輸服務器,所有關鍵角色和組件都融入到郵箱服務器中。
2.客戶端/遠程訪問接口和協議
郵件通信分為郵件發送和郵件接收,其中郵件發送使用統一的通信協議,即SMTP,而郵件的收取則有多種協議標準,如由早期的POP發展至今的POP3,如今使用廣泛的IMAP,Exchange開發了私有的MAPI協議用於收取郵件,較新版本的Outlook通常使用MAPI與Exchange進行交互,除此之外早期的Outlook還使用稱為Outlook Anywhere的RPC交互。下面介紹Exchange提供支持的訪問接口和協議。
Outlook Web App(OWA)
Exchange提供的Web郵箱,地址通常為 http://DOAMIN/owa/