제목 : 스프링 및 가을 클라우드 미러-[시뮬레이션 장면] 교환 쓰기

[KoreanHackerTeam]

0x00 Intro​

OSCP 침투 스타일, C2 및 MSF와 같은 도구를 남기는 것은 어렵지 않습니다.

0x01 Info​

TAG: JDBC, Exchange, NTLM, Coerce 인증, DCSYNC

0x02 Recon​

대상 외부 IP39.98.179.149NMAP 결과

8000 포트를 직접 따르십시오. 나는 이미 전에 80을 놓쳤으며 직접 통과 할 것이 없습니다.

Huaxia ERP, 허점이 많고 진입 점이 오랫동안 붙어 있었고 나중에 JDBC를 보았고 Google 검색 후 형제의 기사를 직접 검색했습니다.
Fastjson의 고급 마술 트릭 -BMth (BMTH666.CN) (http://www.bmth666.cn/bmth_blog/2022/10/19/fastjson%E9%B%98%98%E7%89%88% 9C%E7—9A9a%84%E5%A5%87%9C; E6%8A%80%E6%B7%AB%E5%B7%A7/#%E8%93%9d%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5%8C%E6%80%AA) 건설 페이로드

Configure MySQL_FAKE_SERVER

무단 무단 + MYSQL 커넥터 JDBC 사산 조합 펀치 펀치 직접 RCE

6 FLAG01

.

0x03 入口点：172.22.3.12​

SMB는 인트라넷 호스트를 스캔하고 Exchante Keyword (EXC01)를보고

172.2.3.9에 액세스하려고합니다. Exchange

proxylogon을 직접 제조하여 시스템 권한을 얻기 위해 직접

FLAG02 (짧은 후속 자격 증명)

0x04 入口点：172.22.3.9​

Fast Forward 1 : Exchange Machine 계정의 해시가 수집되었습니다. Exchange Machine 계정에는 도메인의 전체 도메인 객체에 대한 writaCl 권한이 있습니다. 그런 다음 dacledit.py를 직접 사용하여 Zhangtong에 dcsync 권한을 추가합니다 (실제로 DCSYNC를 자신에게 추가 할 수도 있습니다)

DCSYNC는 도메인 관리자 및 사용자 루루아의 해시를 얻기 위해

을 얻습니다.

0x05 Final：172.22.3.26​

Lumia 사용자 폴더에 172.22.3.26

LUMIA MAILBOX

ITEM-0.EML에서 모든 이메일과 첨부 파일을 내보내는 비밀. 휴대 전화 번호

정기적 인 작동으로 가득 찬 첨부 파일, PKZIP 형식으로 해시로 변환하고 사전을 실행하고

:01-69523 :0-69523

0x06 Outro​

교환 후, 저자의 원래 의도는 NTLM 릴레이를 사용하여 DCSYNC 업그레이드를 완료하고 교환 시스템 권한을 얻고 WebDAV를 트리거하여 LDAP로 릴레이하는 것입니다. 관심이 있으시면 이전 기사 스푸핑 2. Lumia 사용자가 Exchange에 로그인을 읽을 수 있습니다. 저자는 또한 Lumia 사용자의 비밀번호를 변경하기를 원하지만 게으르다. 직접 Pth 원본 링크 : https://www.anquanke.com/post/id/286967