0x00 前言

在之前的文章《渗透技巧——Pass the Hash with Remote Desktop Protocol》介绍了使用hash登录RDP的方法，本文将要继续介绍使用hash登录ews的方法。

我们知道，通过mimikatz的over pass the hash和ews的使用当前凭据登录能够实现使用hash登录ews，相关细节可参考《Exchange Web Service(EWS)开发指南》。

但缺点是需要获得管理员权限并对lsass进程进行操作，无法同时对多个用户验证。

所以本文将要介绍更为通用的方法，开源实现脚本，记录思路和开发过程。

0x01 简介

本文将要介绍以下内容：

· 解密Exchange的通信数据

· 使用hash登录ews的思路

· 开源代码

0x02 解密Exchange的通信数据

Exchange默认使用TLS协议对数据进行加密，我们通过Wireshark抓包的方式只能获得加密后的内容，需要进行解密。

这里分别介绍Exchange Server和Exchange Client捕获明文通信数据的方法。

1.Exchange Server捕获明文通信数据的方法

(1)在Exchange Server上导出证书文件

使用mimikatz，命令如下：

mimikatz.exe crypto::capi "crypto::certificates /systemstore:local_machine /store:my /export"

注：

如果不使用命令crypto::capi，无法导出带有私钥的证书文件(pfx文件)。

这条命令会导出多个证书文件，如下图：

为了找到Exchange通信数据使用的证书文件，我们可以采用如下方法：

访问Exchange登录页面，通过查看证书的有效期找到对应的证书文件，如下图：

也可以通过命令行实现对证书信息的获取，代码可参考：https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SSLCertScan.cs

测试如下图：

(2)配置Wireshark

Edit -> Preferences...
Protocols - > TLS

选择RSA keys list

填入配置信息，如下图：

(3)禁用ECDH密钥交换算法

参考资料：

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/demystifying-schannel/ba-p/259233#

通过注册表关闭ECDH的cmd命令：

reg add hklm\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\ECDH /v Enabled /t REG_DWORD /d 0 /f

关闭之后，通过SSLCertScan再次获取证书信息，Key Exchange Algorithm由ECDH Ephemeral变为RsaKeyX。

如下图：

至此，Exchange Server配置完成，再次捕获数据，能够获得明文通信数据，如下图：

2.Exchange Client捕获明文通信数据的方法

(1)添加环境变量

变量名SSLKEYLOGFILE，值为文件路径。

如下图：

(2)配置Wireshark

Edit -> Preferences...
Protocols - > TLS

设置(Pre)-Master-Secret log filename为C:\test\sslkey.log

如下图：

至此，Exchange Client配置完成。

打开Chrome浏览器，访问Exchange，使用Wireshark能够获得明文数据，如下图：

0x03 使用hash登录ews的思路

通过mimikatz的over pass the hash和ews的使用当前凭据登录能够实现使用hash登录ews，我们分别在Exchange Server和Exchange Client捕获数据，如下图：

可以看到这里的验证过程使用了NTLM Over HTTP Protocol。

NTLM Over HTTP Protocol的细节可参考之前的文章《渗透技巧——通过HTTP协议获得Net-NTLM hash》

认证流程：

1.客户端向服务器发送一个GET请求，请求获得网页内容

2.服务器由于开启了NTLM认证，所以返回401，提示需要NTLM认证

3.客户端发起NTLM认证，向服务器发送协商消息

4.服务器收到消息后，生成一个16位的随机数(这个随机数被称为Challenge),明文发送回客户端

5.客户端接收到Challenge后，使用输入的密码hash对Challenge加密，生成response，将response发送给服务器

6.服务器接收客户端加密后的response，经过同样的运算，比较结果，若匹配，提供后续服务，否则，认证失败

对于步骤5:”使用输入的密码hash对Challenge加密”。

如果我们直接传入hash，对Challenge加密，也能实现相同的功能。

至此，我们得出了使用hash登录ews的实现思路：

模拟NTLM Over HTTP Protocol，直接传入hash，对Challenge加密，生成response，将response发送给服务器。

0x04 程序实现

这里选用Python实现，优点是可直接调用Impacket实现NTLM Over HTTP Protocol

参考代码：

https://github.com/dirkjanm/PrivExchange/blob/master/privexchange.py

脚本运行前需要安装Impacket

安装方法：pip install Impacket

我的实现代码如下：

代码分别支持对明文和ntlm hash的验证。

验证明文，如下图：

验证hash，如下图：

我的代码在验证成功后，会接着发送soap命令获得收件箱的信息。

关于soap命令的格式可参考：

https://docs.microsoft.com/en-us/exchange/client-developer/web-service-reference/ews-operations-in-exchange

需要注意的是资料中的soap命令需要调整格式，否则报错返回500，提示An internal server error occurred. The operation failed.

调整格式实例：

https://docs.microsoft.com/en-us/exchange/client-developer/web-service-reference/getfolder-operation中的soap格式如下：

调整格式后的内容如下：

0x05 小结

本文介绍了使用Wireshark解密Exchange通信数据的方法，介绍使用hash登录ews的方法，开源实现脚本，记录思路和开发过程。

本文为 3gstudent 原创稿件，授权嘶吼独家发布，如若转载，请注明原文地址