前沿拓展：

exchange賬戶密碼

我在設(shè)置里面的“賬戶與同步”選添加賬號，第二選exchange activesync 之后填你這是設(shè)置的什么啊?是手機(jī)上的郵箱設(shè)置?還是電腦上的Outlook的郵箱設(shè)置?

翻譯：村雨其實沒有雨

預(yù)估稿費：180RMB

投稿方式：登陸網(wǎng)頁版在線投稿

前言

Microsoft Exchange用戶能夠授權(quán)其他用戶對他的郵箱文件夾進(jìn)行各種級別的訪問。例如，用戶可以授予其他用戶訪問其收件箱中電子郵件的權(quán)力。如果用戶（或Exchange管理員）不小心設(shè)置了不當(dāng)?shù)脑L問權(quán)限，這將導(dǎo)致組織中的任何用戶都能夠訪問其電子郵件。

使用MailSniper，可以快速枚舉任何用戶可訪問的郵箱。在這篇文章中，我將說明這種問題是如何產(chǎn)生的，如何確定存在權(quán)限問題的郵箱，如何在無需獲取郵箱管理員許可的情況下閱讀郵箱中的郵件。

使用Outlook設(shè)置郵箱權(quán)限

更改郵箱權(quán)限是使用Microsoft Outlook客戶端能夠輕松完成的事。如果用戶右鍵單擊文件夾，比如“收件箱”，第二單擊“屬性”，該文件夾的屬性菜單就會打開。

單擊“權(quán)限”選項卡能看到當(dāng)前的設(shè)置。這就是事情變得有趣的地方了。單擊“添加”按鈕，用戶可以指定某個賬戶來授予各種權(quán)限。這是非常理想的，因為用戶能夠限制特定人員的訪問。但是您會注意到在權(quán)限中已經(jīng)包含了“默認(rèn)”和“匿名”選項。“默認(rèn)”項目實質(zhì)上已經(jīng)包含了組織中的每個用戶都有訪問郵件的權(quán)限。

如果用戶錯誤地將權(quán)限級別設(shè)置為“默認(rèn)”而非“無”（除Contributor），這就可能讓該組織中的每個成員訪問該郵件文件夾。

郵箱文件夾的權(quán)限也可以由Exchange管理員設(shè)置。直接在Exchange服務(wù)器上使用Set-MailboxFolderPermission cmdlet，可以修改這些郵箱權(quán)限的設(shè)置。

Invoke-OpenInboxFinder

作為一名滲透測試人員，找到全世界都能訪問的郵箱對我們是非常有價值的。這將成為一系列其他攻擊的媒介。一方面，我們可以搜索其他用戶的電子郵件來獲取某些內(nèi)容，例如密碼或敏感數(shù)據(jù)，而無需其憑據(jù)。另一方面，如果該用戶的電子郵件地址與密碼重置系統(tǒng)相關(guān)聯(lián)，攻擊者可以觸發(fā)密碼重置，第二訪問包含密碼重置鏈接的用戶電子郵件。

我已經(jīng)在MailSniper中添加了一個名為Invoke-OpenInboxFinder的功能，以幫助查找具有設(shè)置允許其他用戶訪問的權(quán)限的郵箱。使用它之前，我們第一需要再目標(biāo)環(huán)境中收集一個電子郵件地址列表。MailSniper有一個名為”Get-GlobalAddressList”的模塊，可用于從Exchange服務(wù)器檢索全局地址列表。它將嘗試Outlook Web Access（OWA）和Exchange Web服務(wù)（EWS）的方法。此命令可用于從Exchange收集電子郵件列表：

Get-GlobalAddressList -ExchHostname mail.domain.com -UserName domainusername -Password Spring2017 -OutFile global-address-list.txt

如果您處于可以與目標(biāo)組織的內(nèi)部Active Directory域進(jìn)行通信的系統(tǒng)上，也可以使用Harmj0y的PowerView來收集電子郵件列表。將PowerView腳本導(dǎo)入PowerShell會話以獲取電子郵件列表：

Get-NetUser | Sort-Object mail | ForEach-Object {$_.mail} | Out-File -Encoding ascii emaillist.txt

收到郵件列表以后，Invoke-OpenInboxFinder功能可以一次檢查一個郵箱，以確認(rèn)當(dāng)前用戶是否可以訪問。它還將檢查Exchange中是否存在可能被訪問的任何公共文件夾。

要使用Invoke-OpenInboxFinder，需要將MailSniper PowerShell腳本導(dǎo)入到PowerShell中：

Import-Module MailSniper.ps1

接下來，運行Invoke-OpenInboxFinder函數(shù)：

Invoke-OpenInboxFinder -EmailList .emaillist.txt

Invoke-OpenInboxFinder將嘗試自動發(fā)現(xiàn)機(jī)遇郵件服務(wù)器電子郵件列表中的第一個條目。如果失敗，您可以使用-ExchHostname標(biāo)志手動設(shè)置Exchange服務(wù)器位置。

在下面的示例中，終端以名為”jeclipse”的域用戶運行。在從域中的電子郵件列表中運行Invoke-OpenInboxFinder后，發(fā)現(xiàn)了兩個公用文件夾。此外”jQuery”可以訪問”maximillian.veers@galacticempireinc.com”的收件箱。Invoke-OpenInboxFinder將會打印出每個項目的權(quán)限級別。在輸出中可以看到”Default”項設(shè)置為”Reviewer”。

使用MailSniper搜索其他用戶的郵箱

發(fā)現(xiàn)郵箱具有允許用戶訪問的過多權(quán)限之后，MailSniper可以讀取并搜索目標(biāo)郵箱中的郵件。MailSniper的Invoke-SelfSearch功能以前用戶主要搜索正在運行它的用戶的郵箱，我稍作修改，以便能夠檢查另一個用戶的電子郵件。這里需要指定一個名為”OtherUserMailbox”的新標(biāo)志來訪問其他郵箱。命令如下：

Invoke-SelfSearch -Mailbox target-email-address@domain.com -OtherUserMailbox

在下面的截圖中，我使用”jeclipse”賬戶搜索maximillian.veers@galactiempireinc.com的郵箱。發(fā)現(xiàn)三個結(jié)果，其電子郵件的主題或主題中包含了密碼或憑證。

Office365和對外開放的Exchange服務(wù)器

如果Exchange Web服務(wù)（EWS）可訪問，Invoke-OpenInboxFinder也可以使用。你可能需要用ExchHostname手動指定主機(jī)名，除非它對外設(shè)置了自動發(fā)現(xiàn)。要連接到Office365，主機(jī)名將是”outlook.office365.com”，指定-Remote標(biāo)志能讓Invoke-OpenInboxFinder提示可用于向遠(yuǎn)程EWS服務(wù)進(jìn)行身份驗證的憑據(jù)。

用于檢查托管在Office365上的郵箱以獲得廣泛權(quán)限的命令如下：

Invoke-OpenInboxFinder -EmailList .emaillist.txt -ExchHostname outlook.office365.com -Remote

以下是客戶使用Office365時，真實的評估截圖。我們可以在組織中訪問單個用戶的憑據(jù)。通過使用從全局地址列表收集的電子郵件列表運行Invoke-OpenInboxFinder，我們可以確定組織中的三個單獨的賬戶允許我們的用戶閱讀他們的電子郵件。

建議

顯然，防止攻擊者訪問有效的用戶賬戶是防御的第一步。問題是它不會阻止你當(dāng)前的員工去訪問他們有權(quán)限訪問的郵箱。另外注意，你必須要有一個可用的與郵箱關(guān)聯(lián)的域賬戶，以檢查是否能夠訪問他人的郵箱。

如果可能的話，限制在Outlook客戶端上更改此類權(quán)限是非常有幫助的。我已經(jīng)找到了一些很老的文章(2010年)說明權(quán)限選項能夠用GPO鎖定。我個人沒有試過上面說的任何方法，但這值得一試。你能在這里和這里找到這些方法。

使用MailSniper中的Invoke-OpenInboxFinder功能，或使用Exchange上的Get-MailboxFolderPermission cmdlet.aspx審核組織中所有帳戶的設(shè)置。

結(jié)論

郵箱權(quán)限是紅藍(lán)雙方都應(yīng)該關(guān)注的問題。通過Outlook在文件夾屬性中包含“默認(rèn)”權(quán)限項的方式，這使得用戶更有可能讓組織中的任何人都能夠訪問其郵箱。在紅方角度來看，這提供了在電子郵件中進(jìn)一步查找網(wǎng)絡(luò)密碼或其他敏感數(shù)據(jù)的機(jī)會。而從藍(lán)方角度看，則應(yīng)該擔(dān)心高級賬戶(C-Suite類型)意外地與整個公司共享了郵箱，或者公司員工窺探其他員工，甚至通過這些渠道修改郵箱等問題。

您可以在Github上下載MailSniper: https://github.com/dafthack/mailsniper

拓展知識：

exchange賬戶密碼

不能查看當(dāng)前密碼，密碼是屬于個人高度機(jī)密**，如果個人可以查看，那管理員就可以查看了，也是加密存儲在服務(wù)端，只能重置為新密碼。

exchange賬戶密碼

就是當(dāng)初你設(shè)定的密碼，如果沒有設(shè)定，可以按照以下步驟，Exchange郵箱密碼設(shè)置步驟如下：

1、第一我們打開手機(jī)，打開手機(jī)設(shè)置，找到“密碼與賬戶”。
2、第二點擊“添加賬戶”。
3、第二點擊“Exchange”選項。
4、第二輸入你電子郵件地址和描述（可自定義），再點擊下一步。
5、第二點擊“登錄“選項。
6、第二輸入你的郵箱密碼，點擊下一步，驗證通過無誤就可以使用郵箱了。

前沿拓展：

exchange賬戶密碼

我在設(shè)置里面的“賬戶與同步”選添加賬號，第二選exchange activesync 之后填你這是設(shè)置的什么啊?是手機(jī)上的郵箱設(shè)置?還是電腦上的Outlook的郵箱設(shè)置?

翻譯：村雨其實沒有雨

預(yù)估稿費：180RMB

投稿方式：登陸網(wǎng)頁版在線投稿

前言

Microsoft Exchange用戶能夠授權(quán)其他用戶對他的郵箱文件夾進(jìn)行各種級別的訪問。例如，用戶可以授予其他用戶訪問其收件箱中電子郵件的權(quán)力。如果用戶（或Exchange管理員）不小心設(shè)置了不當(dāng)?shù)脑L問權(quán)限，這將導(dǎo)致組織中的任何用戶都能夠訪問其電子郵件。

使用MailSniper，可以快速枚舉任何用戶可訪問的郵箱。在這篇文章中，我將說明這種問題是如何產(chǎn)生的，如何確定存在權(quán)限問題的郵箱，如何在無需獲取郵箱管理員許可的情況下閱讀郵箱中的郵件。

使用Outlook設(shè)置郵箱權(quán)限

更改郵箱權(quán)限是使用Microsoft Outlook客戶端能夠輕松完成的事。如果用戶右鍵單擊文件夾，比如“收件箱”，第二單擊“屬性”，該文件夾的屬性菜單就會打開。

單擊“權(quán)限”選項卡能看到當(dāng)前的設(shè)置。這就是事情變得有趣的地方了。單擊“添加”按鈕，用戶可以指定某個賬戶來授予各種權(quán)限。這是非常理想的，因為用戶能夠限制特定人員的訪問。但是您會注意到在權(quán)限中已經(jīng)包含了“默認(rèn)”和“匿名”選項。“默認(rèn)”項目實質(zhì)上已經(jīng)包含了組織中的每個用戶都有訪問郵件的權(quán)限。

如果用戶錯誤地將權(quán)限級別設(shè)置為“默認(rèn)”而非“無”（除Contributor），這就可能讓該組織中的每個成員訪問該郵件文件夾。

郵箱文件夾的權(quán)限也可以由Exchange管理員設(shè)置。直接在Exchange服務(wù)器上使用Set-MailboxFolderPermission cmdlet，可以修改這些郵箱權(quán)限的設(shè)置。

Invoke-OpenInboxFinder

作為一名滲透測試人員，找到全世界都能訪問的郵箱對我們是非常有價值的。這將成為一系列其他攻擊的媒介。一方面，我們可以搜索其他用戶的電子郵件來獲取某些內(nèi)容，例如密碼或敏感數(shù)據(jù)，而無需其憑據(jù)。另一方面，如果該用戶的電子郵件地址與密碼重置系統(tǒng)相關(guān)聯(lián)，攻擊者可以觸發(fā)密碼重置，第二訪問包含密碼重置鏈接的用戶電子郵件。

我已經(jīng)在MailSniper中添加了一個名為Invoke-OpenInboxFinder的功能，以幫助查找具有設(shè)置允許其他用戶訪問的權(quán)限的郵箱。使用它之前，我們第一需要再目標(biāo)環(huán)境中收集一個電子郵件地址列表。MailSniper有一個名為”Get-GlobalAddressList”的模塊，可用于從Exchange服務(wù)器檢索全局地址列表。它將嘗試Outlook Web Access（OWA）和Exchange Web服務(wù)（EWS）的方法。此命令可用于從Exchange收集電子郵件列表：

Get-GlobalAddressList -ExchHostname mail.domain.com -UserName domainusername -Password Spring2017 -OutFile global-address-list.txt

如果您處于可以與目標(biāo)組織的內(nèi)部Active Directory域進(jìn)行通信的系統(tǒng)上，也可以使用Harmj0y的PowerView來收集電子郵件列表。將PowerView腳本導(dǎo)入PowerShell會話以獲取電子郵件列表：

Get-NetUser | Sort-Object mail | ForEach-Object {$_.mail} | Out-File -Encoding ascii emaillist.txt

收到郵件列表以后，Invoke-OpenInboxFinder功能可以一次檢查一個郵箱，以確認(rèn)當(dāng)前用戶是否可以訪問。它還將檢查Exchange中是否存在可能被訪問的任何公共文件夾。

要使用Invoke-OpenInboxFinder，需要將MailSniper PowerShell腳本導(dǎo)入到PowerShell中：

Import-Module MailSniper.ps1

接下來，運行Invoke-OpenInboxFinder函數(shù)：

Invoke-OpenInboxFinder -EmailList .emaillist.txt

Invoke-OpenInboxFinder將嘗試自動發(fā)現(xiàn)機(jī)遇郵件服務(wù)器電子郵件列表中的第一個條目。如果失敗，您可以使用-ExchHostname標(biāo)志手動設(shè)置Exchange服務(wù)器位置。

在下面的示例中，終端以名為”jeclipse”的域用戶運行。在從域中的電子郵件列表中運行Invoke-OpenInboxFinder后，發(fā)現(xiàn)了兩個公用文件夾。此外”jQuery”可以訪問”maximillian.veers@galacticempireinc.com”的收件箱。Invoke-OpenInboxFinder將會打印出每個項目的權(quán)限級別。在輸出中可以看到”Default”項設(shè)置為”Reviewer”。

使用MailSniper搜索其他用戶的郵箱

發(fā)現(xiàn)郵箱具有允許用戶訪問的過多權(quán)限之后，MailSniper可以讀取并搜索目標(biāo)郵箱中的郵件。MailSniper的Invoke-SelfSearch功能以前用戶主要搜索正在運行它的用戶的郵箱，我稍作修改，以便能夠檢查另一個用戶的電子郵件。這里需要指定一個名為”OtherUserMailbox”的新標(biāo)志來訪問其他郵箱。命令如下：

Invoke-SelfSearch -Mailbox target-email-address@domain.com -OtherUserMailbox

在下面的截圖中，我使用”jeclipse”賬戶搜索maximillian.veers@galactiempireinc.com的郵箱。發(fā)現(xiàn)三個結(jié)果，其電子郵件的主題或主題中包含了密碼或憑證。

Office365和對外開放的Exchange服務(wù)器

如果Exchange Web服務(wù)（EWS）可訪問，Invoke-OpenInboxFinder也可以使用。你可能需要用ExchHostname手動指定主機(jī)名，除非它對外設(shè)置了自動發(fā)現(xiàn)。要連接到Office365，主機(jī)名將是”outlook.office365.com”，指定-Remote標(biāo)志能讓Invoke-OpenInboxFinder提示可用于向遠(yuǎn)程EWS服務(wù)進(jìn)行身份驗證的憑據(jù)。

用于檢查托管在Office365上的郵箱以獲得廣泛權(quán)限的命令如下：

Invoke-OpenInboxFinder -EmailList .emaillist.txt -ExchHostname outlook.office365.com -Remote

以下是客戶使用Office365時，真實的評估截圖。我們可以在組織中訪問單個用戶的憑據(jù)。通過使用從全局地址列表收集的電子郵件列表運行Invoke-OpenInboxFinder，我們可以確定組織中的三個單獨的賬戶允許我們的用戶閱讀他們的電子郵件。

建議

顯然，防止攻擊者訪問有效的用戶賬戶是防御的第一步。問題是它不會阻止你當(dāng)前的員工去訪問他們有權(quán)限訪問的郵箱。另外注意，你必須要有一個可用的與郵箱關(guān)聯(lián)的域賬戶，以檢查是否能夠訪問他人的郵箱。

如果可能的話，限制在Outlook客戶端上更改此類權(quán)限是非常有幫助的。我已經(jīng)找到了一些很老的文章(2010年)說明權(quán)限選項能夠用GPO鎖定。我個人沒有試過上面說的任何方法，但這值得一試。你能在這里和這里找到這些方法。

使用MailSniper中的Invoke-OpenInboxFinder功能，或使用Exchange上的Get-MailboxFolderPermission cmdlet.aspx審核組織中所有帳戶的設(shè)置。

結(jié)論

郵箱權(quán)限是紅藍(lán)雙方都應(yīng)該關(guān)注的問題。通過Outlook在文件夾屬性中包含“默認(rèn)”權(quán)限項的方式，這使得用戶更有可能讓組織中的任何人都能夠訪問其郵箱。在紅方角度來看，這提供了在電子郵件中進(jìn)一步查找網(wǎng)絡(luò)密碼或其他敏感數(shù)據(jù)的機(jī)會。而從藍(lán)方角度看，則應(yīng)該擔(dān)心高級賬戶(C-Suite類型)意外地與整個公司共享了郵箱，或者公司員工窺探其他員工，甚至通過這些渠道修改郵箱等問題。

您可以在Github上下載MailSniper: https://github.com/dafthack/mailsniper

拓展知識：

exchange賬戶密碼

不能查看當(dāng)前密碼，密碼是屬于個人高度機(jī)密**，如果個人可以查看，那管理員就可以查看了，也是加密存儲在服務(wù)端，只能重置為新密碼。

exchange賬戶密碼

就是當(dāng)初你設(shè)定的密碼，如果沒有設(shè)定，可以按照以下步驟，Exchange郵箱密碼設(shè)置步驟如下：

1、第一我們打開手機(jī)，打開手機(jī)設(shè)置，找到“密碼與賬戶”。
2、第二點擊“添加賬戶”。
3、第二點擊“Exchange”選項。
4、第二輸入你電子郵件地址和描述（可自定義），再點擊下一步。
5、第二點擊“登錄“選項。
6、第二輸入你的郵箱密碼，點擊下一步，驗證通過無誤就可以使用郵箱了。

前沿拓展：

exchange賬戶密碼

我在設(shè)置里面的“賬戶與同步”選添加賬號，第二選exchange activesync 之后填你這是設(shè)置的什么啊?是手機(jī)上的郵箱設(shè)置?還是電腦上的Outlook的郵箱設(shè)置?

翻譯：村雨其實沒有雨

預(yù)估稿費：180RMB

投稿方式：登陸網(wǎng)頁版在線投稿

前言

Microsoft Exchange用戶能夠授權(quán)其他用戶對他的郵箱文件夾進(jìn)行各種級別的訪問。例如，用戶可以授予其他用戶訪問其收件箱中電子郵件的權(quán)力。如果用戶（或Exchange管理員）不小心設(shè)置了不當(dāng)?shù)脑L問權(quán)限，這將導(dǎo)致組織中的任何用戶都能夠訪問其電子郵件。

使用MailSniper，可以快速枚舉任何用戶可訪問的郵箱。在這篇文章中，我將說明這種問題是如何產(chǎn)生的，如何確定存在權(quán)限問題的郵箱，如何在無需獲取郵箱管理員許可的情況下閱讀郵箱中的郵件。

使用Outlook設(shè)置郵箱權(quán)限

更改郵箱權(quán)限是使用Microsoft Outlook客戶端能夠輕松完成的事。如果用戶右鍵單擊文件夾，比如“收件箱”，第二單擊“屬性”，該文件夾的屬性菜單就會打開。

單擊“權(quán)限”選項卡能看到當(dāng)前的設(shè)置。這就是事情變得有趣的地方了。單擊“添加”按鈕，用戶可以指定某個賬戶來授予各種權(quán)限。這是非常理想的，因為用戶能夠限制特定人員的訪問。但是您會注意到在權(quán)限中已經(jīng)包含了“默認(rèn)”和“匿名”選項。“默認(rèn)”項目實質(zhì)上已經(jīng)包含了組織中的每個用戶都有訪問郵件的權(quán)限。

如果用戶錯誤地將權(quán)限級別設(shè)置為“默認(rèn)”而非“無”（除Contributor），這就可能讓該組織中的每個成員訪問該郵件文件夾。

郵箱文件夾的權(quán)限也可以由Exchange管理員設(shè)置。直接在Exchange服務(wù)器上使用Set-MailboxFolderPermission cmdlet，可以修改這些郵箱權(quán)限的設(shè)置。

Invoke-OpenInboxFinder

作為一名滲透測試人員，找到全世界都能訪問的郵箱對我們是非常有價值的。這將成為一系列其他攻擊的媒介。一方面，我們可以搜索其他用戶的電子郵件來獲取某些內(nèi)容，例如密碼或敏感數(shù)據(jù)，而無需其憑據(jù)。另一方面，如果該用戶的電子郵件地址與密碼重置系統(tǒng)相關(guān)聯(lián)，攻擊者可以觸發(fā)密碼重置，第二訪問包含密碼重置鏈接的用戶電子郵件。

我已經(jīng)在MailSniper中添加了一個名為Invoke-OpenInboxFinder的功能，以幫助查找具有設(shè)置允許其他用戶訪問的權(quán)限的郵箱。使用它之前，我們第一需要再目標(biāo)環(huán)境中收集一個電子郵件地址列表。MailSniper有一個名為”Get-GlobalAddressList”的模塊，可用于從Exchange服務(wù)器檢索全局地址列表。它將嘗試Outlook Web Access（OWA）和Exchange Web服務(wù)（EWS）的方法。此命令可用于從Exchange收集電子郵件列表：

Get-GlobalAddressList -ExchHostname mail.domain.com -UserName domainusername -Password Spring2017 -OutFile global-address-list.txt

如果您處于可以與目標(biāo)組織的內(nèi)部Active Directory域進(jìn)行通信的系統(tǒng)上，也可以使用Harmj0y的PowerView來收集電子郵件列表。將PowerView腳本導(dǎo)入PowerShell會話以獲取電子郵件列表：

Get-NetUser | Sort-Object mail | ForEach-Object {$_.mail} | Out-File -Encoding ascii emaillist.txt

收到郵件列表以后，Invoke-OpenInboxFinder功能可以一次檢查一個郵箱，以確認(rèn)當(dāng)前用戶是否可以訪問。它還將檢查Exchange中是否存在可能被訪問的任何公共文件夾。

要使用Invoke-OpenInboxFinder，需要將MailSniper PowerShell腳本導(dǎo)入到PowerShell中：

Import-Module MailSniper.ps1

接下來，運行Invoke-OpenInboxFinder函數(shù)：

Invoke-OpenInboxFinder -EmailList .emaillist.txt

Invoke-OpenInboxFinder將嘗試自動發(fā)現(xiàn)機(jī)遇郵件服務(wù)器電子郵件列表中的第一個條目。如果失敗，您可以使用-ExchHostname標(biāo)志手動設(shè)置Exchange服務(wù)器位置。

在下面的示例中，終端以名為”jeclipse”的域用戶運行。在從域中的電子郵件列表中運行Invoke-OpenInboxFinder后，發(fā)現(xiàn)了兩個公用文件夾。此外”jQuery”可以訪問”maximillian.veers@galacticempireinc.com”的收件箱。Invoke-OpenInboxFinder將會打印出每個項目的權(quán)限級別。在輸出中可以看到”Default”項設(shè)置為”Reviewer”。

使用MailSniper搜索其他用戶的郵箱

發(fā)現(xiàn)郵箱具有允許用戶訪問的過多權(quán)限之后，MailSniper可以讀取并搜索目標(biāo)郵箱中的郵件。MailSniper的Invoke-SelfSearch功能以前用戶主要搜索正在運行它的用戶的郵箱，我稍作修改，以便能夠檢查另一個用戶的電子郵件。這里需要指定一個名為”OtherUserMailbox”的新標(biāo)志來訪問其他郵箱。命令如下：

Invoke-SelfSearch -Mailbox target-email-address@domain.com -OtherUserMailbox

在下面的截圖中，我使用”jeclipse”賬戶搜索maximillian.veers@galactiempireinc.com的郵箱。發(fā)現(xiàn)三個結(jié)果，其電子郵件的主題或主題中包含了密碼或憑證。

Office365和對外開放的Exchange服務(wù)器

如果Exchange Web服務(wù)（EWS）可訪問，Invoke-OpenInboxFinder也可以使用。你可能需要用ExchHostname手動指定主機(jī)名，除非它對外設(shè)置了自動發(fā)現(xiàn)。要連接到Office365，主機(jī)名將是”outlook.office365.com”，指定-Remote標(biāo)志能讓Invoke-OpenInboxFinder提示可用于向遠(yuǎn)程EWS服務(wù)進(jìn)行身份驗證的憑據(jù)。

用于檢查托管在Office365上的郵箱以獲得廣泛權(quán)限的命令如下：

Invoke-OpenInboxFinder -EmailList .emaillist.txt -ExchHostname outlook.office365.com -Remote

以下是客戶使用Office365時，真實的評估截圖。我們可以在組織中訪問單個用戶的憑據(jù)。通過使用從全局地址列表收集的電子郵件列表運行Invoke-OpenInboxFinder，我們可以確定組織中的三個單獨的賬戶允許我們的用戶閱讀他們的電子郵件。

建議

顯然，防止攻擊者訪問有效的用戶賬戶是防御的第一步。問題是它不會阻止你當(dāng)前的員工去訪問他們有權(quán)限訪問的郵箱。另外注意，你必須要有一個可用的與郵箱關(guān)聯(lián)的域賬戶，以檢查是否能夠訪問他人的郵箱。

如果可能的話，限制在Outlook客戶端上更改此類權(quán)限是非常有幫助的。我已經(jīng)找到了一些很老的文章(2010年)說明權(quán)限選項能夠用GPO鎖定。我個人沒有試過上面說的任何方法，但這值得一試。你能在這里和這里找到這些方法。

使用MailSniper中的Invoke-OpenInboxFinder功能，或使用Exchange上的Get-MailboxFolderPermission cmdlet.aspx審核組織中所有帳戶的設(shè)置。

結(jié)論

郵箱權(quán)限是紅藍(lán)雙方都應(yīng)該關(guān)注的問題。通過Outlook在文件夾屬性中包含“默認(rèn)”權(quán)限項的方式，這使得用戶更有可能讓組織中的任何人都能夠訪問其郵箱。在紅方角度來看，這提供了在電子郵件中進(jìn)一步查找網(wǎng)絡(luò)密碼或其他敏感數(shù)據(jù)的機(jī)會。而從藍(lán)方角度看，則應(yīng)該擔(dān)心高級賬戶(C-Suite類型)意外地與整個公司共享了郵箱，或者公司員工窺探其他員工，甚至通過這些渠道修改郵箱等問題。

您可以在Github上下載MailSniper: https://github.com/dafthack/mailsniper

拓展知識：

exchange賬戶密碼

不能查看當(dāng)前密碼，密碼是屬于個人高度機(jī)密**，如果個人可以查看，那管理員就可以查看了，也是加密存儲在服務(wù)端，只能重置為新密碼。

exchange賬戶密碼

就是當(dāng)初你設(shè)定的密碼，如果沒有設(shè)定，可以按照以下步驟，Exchange郵箱密碼設(shè)置步驟如下：

1、第一我們打開手機(jī)，打開手機(jī)設(shè)置，找到“密碼與賬戶”。
2、第二點擊“添加賬戶”。
3、第二點擊“Exchange”選項。
4、第二輸入你電子郵件地址和描述（可自定義），再點擊下一步。
5、第二點擊“登錄“選項。
6、第二輸入你的郵箱密碼，點擊下一步，驗證通過無誤就可以使用郵箱了。

前沿拓展：

exchange賬戶密碼

我在設(shè)置里面的“賬戶與同步”選添加賬號，第二選exchange activesync 之后填你這是設(shè)置的什么啊?是手機(jī)上的郵箱設(shè)置?還是電腦上的Outlook的郵箱設(shè)置?

翻譯：村雨其實沒有雨

預(yù)估稿費：180RMB

投稿方式：登陸網(wǎng)頁版在線投稿

前言

Microsoft Exchange用戶能夠授權(quán)其他用戶對他的郵箱文件夾進(jìn)行各種級別的訪問。例如，用戶可以授予其他用戶訪問其收件箱中電子郵件的權(quán)力。如果用戶（或Exchange管理員）不小心設(shè)置了不當(dāng)?shù)脑L問權(quán)限，這將導(dǎo)致組織中的任何用戶都能夠訪問其電子郵件。

使用MailSniper，可以快速枚舉任何用戶可訪問的郵箱。在這篇文章中，我將說明這種問題是如何產(chǎn)生的，如何確定存在權(quán)限問題的郵箱，如何在無需獲取郵箱管理員許可的情況下閱讀郵箱中的郵件。

使用Outlook設(shè)置郵箱權(quán)限

更改郵箱權(quán)限是使用Microsoft Outlook客戶端能夠輕松完成的事。如果用戶右鍵單擊文件夾，比如“收件箱”，第二單擊“屬性”，該文件夾的屬性菜單就會打開。

單擊“權(quán)限”選項卡能看到當(dāng)前的設(shè)置。這就是事情變得有趣的地方了。單擊“添加”按鈕，用戶可以指定某個賬戶來授予各種權(quán)限。這是非常理想的，因為用戶能夠限制特定人員的訪問。但是您會注意到在權(quán)限中已經(jīng)包含了“默認(rèn)”和“匿名”選項。“默認(rèn)”項目實質(zhì)上已經(jīng)包含了組織中的每個用戶都有訪問郵件的權(quán)限。

如果用戶錯誤地將權(quán)限級別設(shè)置為“默認(rèn)”而非“無”（除Contributor），這就可能讓該組織中的每個成員訪問該郵件文件夾。

郵箱文件夾的權(quán)限也可以由Exchange管理員設(shè)置。直接在Exchange服務(wù)器上使用Set-MailboxFolderPermission cmdlet，可以修改這些郵箱權(quán)限的設(shè)置。

Invoke-OpenInboxFinder

作為一名滲透測試人員，找到全世界都能訪問的郵箱對我們是非常有價值的。這將成為一系列其他攻擊的媒介。一方面，我們可以搜索其他用戶的電子郵件來獲取某些內(nèi)容，例如密碼或敏感數(shù)據(jù)，而無需其憑據(jù)。另一方面，如果該用戶的電子郵件地址與密碼重置系統(tǒng)相關(guān)聯(lián)，攻擊者可以觸發(fā)密碼重置，第二訪問包含密碼重置鏈接的用戶電子郵件。

我已經(jīng)在MailSniper中添加了一個名為Invoke-OpenInboxFinder的功能，以幫助查找具有設(shè)置允許其他用戶訪問的權(quán)限的郵箱。使用它之前，我們第一需要再目標(biāo)環(huán)境中收集一個電子郵件地址列表。MailSniper有一個名為”Get-GlobalAddressList”的模塊，可用于從Exchange服務(wù)器檢索全局地址列表。它將嘗試Outlook Web Access（OWA）和Exchange Web服務(wù)（EWS）的方法。此命令可用于從Exchange收集電子郵件列表：

Get-GlobalAddressList -ExchHostname mail.domain.com -UserName domainusername -Password Spring2017 -OutFile global-address-list.txt

如果您處于可以與目標(biāo)組織的內(nèi)部Active Directory域進(jìn)行通信的系統(tǒng)上，也可以使用Harmj0y的PowerView來收集電子郵件列表。將PowerView腳本導(dǎo)入PowerShell會話以獲取電子郵件列表：

Get-NetUser | Sort-Object mail | ForEach-Object {$_.mail} | Out-File -Encoding ascii emaillist.txt

收到郵件列表以后，Invoke-OpenInboxFinder功能可以一次檢查一個郵箱，以確認(rèn)當(dāng)前用戶是否可以訪問。它還將檢查Exchange中是否存在可能被訪問的任何公共文件夾。

要使用Invoke-OpenInboxFinder，需要將MailSniper PowerShell腳本導(dǎo)入到PowerShell中：

Import-Module MailSniper.ps1

接下來，運行Invoke-OpenInboxFinder函數(shù)：

Invoke-OpenInboxFinder -EmailList .emaillist.txt

Invoke-OpenInboxFinder將嘗試自動發(fā)現(xiàn)機(jī)遇郵件服務(wù)器電子郵件列表中的第一個條目。如果失敗，您可以使用-ExchHostname標(biāo)志手動設(shè)置Exchange服務(wù)器位置。

在下面的示例中，終端以名為”jeclipse”的域用戶運行。在從域中的電子郵件列表中運行Invoke-OpenInboxFinder后，發(fā)現(xiàn)了兩個公用文件夾。此外”jQuery”可以訪問”maximillian.veers@galacticempireinc.com”的收件箱。Invoke-OpenInboxFinder將會打印出每個項目的權(quán)限級別。在輸出中可以看到”Default”項設(shè)置為”Reviewer”。

使用MailSniper搜索其他用戶的郵箱

發(fā)現(xiàn)郵箱具有允許用戶訪問的過多權(quán)限之后，MailSniper可以讀取并搜索目標(biāo)郵箱中的郵件。MailSniper的Invoke-SelfSearch功能以前用戶主要搜索正在運行它的用戶的郵箱，我稍作修改，以便能夠檢查另一個用戶的電子郵件。這里需要指定一個名為”OtherUserMailbox”的新標(biāo)志來訪問其他郵箱。命令如下：

Invoke-SelfSearch -Mailbox target-email-address@domain.com -OtherUserMailbox

在下面的截圖中，我使用”jeclipse”賬戶搜索maximillian.veers@galactiempireinc.com的郵箱。發(fā)現(xiàn)三個結(jié)果，其電子郵件的主題或主題中包含了密碼或憑證。

Office365和對外開放的Exchange服務(wù)器

如果Exchange Web服務(wù)（EWS）可訪問，Invoke-OpenInboxFinder也可以使用。你可能需要用ExchHostname手動指定主機(jī)名，除非它對外設(shè)置了自動發(fā)現(xiàn)。要連接到Office365，主機(jī)名將是”outlook.office365.com”，指定-Remote標(biāo)志能讓Invoke-OpenInboxFinder提示可用于向遠(yuǎn)程EWS服務(wù)進(jìn)行身份驗證的憑據(jù)。

用于檢查托管在Office365上的郵箱以獲得廣泛權(quán)限的命令如下：

Invoke-OpenInboxFinder -EmailList .emaillist.txt -ExchHostname outlook.office365.com -Remote

以下是客戶使用Office365時，真實的評估截圖。我們可以在組織中訪問單個用戶的憑據(jù)。通過使用從全局地址列表收集的電子郵件列表運行Invoke-OpenInboxFinder，我們可以確定組織中的三個單獨的賬戶允許我們的用戶閱讀他們的電子郵件。

建議

顯然，防止攻擊者訪問有效的用戶賬戶是防御的第一步。問題是它不會阻止你當(dāng)前的員工去訪問他們有權(quán)限訪問的郵箱。另外注意，你必須要有一個可用的與郵箱關(guān)聯(lián)的域賬戶，以檢查是否能夠訪問他人的郵箱。

如果可能的話，限制在Outlook客戶端上更改此類權(quán)限是非常有幫助的。我已經(jīng)找到了一些很老的文章(2010年)說明權(quán)限選項能夠用GPO鎖定。我個人沒有試過上面說的任何方法，但這值得一試。你能在這里和這里找到這些方法。

使用MailSniper中的Invoke-OpenInboxFinder功能，或使用Exchange上的Get-MailboxFolderPermission cmdlet.aspx審核組織中所有帳戶的設(shè)置。

結(jié)論

郵箱權(quán)限是紅藍(lán)雙方都應(yīng)該關(guān)注的問題。通過Outlook在文件夾屬性中包含“默認(rèn)”權(quán)限項的方式，這使得用戶更有可能讓組織中的任何人都能夠訪問其郵箱。在紅方角度來看，這提供了在電子郵件中進(jìn)一步查找網(wǎng)絡(luò)密碼或其他敏感數(shù)據(jù)的機(jī)會。而從藍(lán)方角度看，則應(yīng)該擔(dān)心高級賬戶(C-Suite類型)意外地與整個公司共享了郵箱，或者公司員工窺探其他員工，甚至通過這些渠道修改郵箱等問題。

您可以在Github上下載MailSniper: https://github.com/dafthack/mailsniper

拓展知識：

exchange賬戶密碼

不能查看當(dāng)前密碼，密碼是屬于個人高度機(jī)密**，如果個人可以查看，那管理員就可以查看了，也是加密存儲在服務(wù)端，只能重置為新密碼。

exchange賬戶密碼

就是當(dāng)初你設(shè)定的密碼，如果沒有設(shè)定，可以按照以下步驟，Exchange郵箱密碼設(shè)置步驟如下：

1、第一我們打開手機(jī)，打開手機(jī)設(shè)置，找到“密碼與賬戶”。
2、第二點擊“添加賬戶”。
3、第二點擊“Exchange”選項。
4、第二輸入你電子郵件地址和描述（可自定義），再點擊下一步。
5、第二點擊“登錄“選項。
6、第二輸入你的郵箱密碼，點擊下一步，驗證通過無誤就可以使用郵箱了。