Exchange 暴力破解與防范

針對Exchange漏洞的利用有很多種方式，但大多數攻擊手法首先要有一個郵箱賬號，所以，最重要的一步就是獲取郵箱賬號。獲取郵箱賬號最常見的攻擊方式有兩種，釣魚郵件以及暴力破解。

本文整理了Exchange暴力破解的方式，以及記錄和分享一些防范方面的小技巧。

一、Exchange暴力破解

（1）OWA登錄爆破

Exchange郵箱登錄界面，默認沒有驗證碼，也沒有登錄爆破限制，可通過BurpSuite嘗試遍歷用戶名密碼字段進行暴力破解。

（2）Exchange接口爆破

Exchange部分接口默認使用NTLM認證，可通過嘗試驗證各接口來進行暴力破解。這個分享一個自動化腳本，集成了現有主流接口的爆破方式。

Github項目地址:

https://github.com/grayddq/EBurst

備注：python2的腳本，需要部分代碼，以解決SSL證書驗證問題。

二、防護方案

常見的防御方法有以下幾種：增加密碼復雜度，增加WAF防御，使用圖形驗證碼驗證，必要的情況下，考慮雙因素驗證等。當然，再多的防御，也擋不住用戶自己在釣魚頁面輸入自己的密碼。

最后，分享一些小技巧，使用PowerShell 命令實現一些Exchange 監測和分析。

(1)Exchange傳輸日志分析

Get-MessageTrackingLog -ResultSize Unlimited -Start (Get-Date).AddHours(-6)   -EventId “send” |Group-Object -Property:sender |Select name,count|sort count -Descending

Powershell+定時任務，可實現定時推送Exchange郵件發送統計報告，發現異常的用戶郵箱。

（2）Exchange IIS日志分析