ExchangeRelayX：針對EWS終端的NTLM中繼工具

今天給大家介紹的是一款名叫ExchangeRelayX的工具，這是一款NTLM中繼工具，適用於EWS節點和On-Premise微軟郵件交換伺服器。

ExchangeRelayX

該工具當前版本為v1.0.01，其實本質上來說它是一個PoC工具，可以演示攻擊者如何基於NTLM中繼攻擊來攻擊EWS節點和On-Premise微軟郵件交換伺服器，併入侵目標用戶的電子郵箱。該工具可以給攻擊者提供一個OWA查詢介面，並訪問目標用戶的郵箱以及通訊錄。

工具開發背景

本工具於Defcon 26發布，關於該工具的詳細視頻以及演示內容可以從這個DEMO中獲取：【DEMO傳送門】。

工具安裝

pip install -r requirements.txt

工具使用

簡單，暴力：

./exchangeRelayx.py -t https://mail.quickbreach.com

功能介紹

1.訪問EWS伺服器的原始XML數據；

2.向目標用戶的郵件添加重定向規則，以實現後門安插；

3.下載目標用戶郵箱中收件箱郵件和發件箱郵件的所有附件；

4.搜索目標賬戶的全局郵件通訊錄；

5.以目標用戶的身份發送帶有附件的電子郵件，郵件不會存儲在目標郵箱的發件箱發件箱中。

程序架構

本項目分為owaServer、中繼伺服器和HTTP攻擊客戶端（exchangePlugin），每一個組件都會建立不同的中繼鏈接。

owaServer

owaServer是一個基於Flask框架的Web伺服器，默認監聽http://127.0.0.1:8000。這個Web伺服器託管靜態HTML文件index.html、OWA.html和ComposeEmail.html，owaServer終端會通過JSON請求來載入和調用這些文件。當客戶端向owaServer發送請求時，owaServer會生成相應的EWS調用並將其寫入共享內存目錄中，然後把請求發送至郵件交換伺服器。最後，當owaServer獲取到請求之後，會對數據進行解析並返回處理結果。

中繼伺服器

這個中繼伺服器基於標準的Impacket HTTP和SMB實現，它們將為每一個新的中繼鏈接創建新的exchangePlugin實例。

exchangePlugin

exchangePlugin實際上是一個專門發送/接收EWS伺服器請求/響應的HTTP客戶端。所有的exchangePlugin在初始化時都會被發送到相同的共享內存目錄中，它們會使用這個目錄進行內部進程通信。

備註

該工具在Server 2012 R2系統的Exchange 2013上測試過，所以個人認為該工具應該也適用於其他環境。

*參考來源：ExchangeRelayX，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！