0x00 背景

最近看AD一哥有讨论ex的默认配置错误的，还以为是acl提权。早上测试了下，发现不是，还是很强的。任意 domain user 添加。应该还有其他组合拳玩法.

• p0报告: Exchange: AD Schema Misconfiguration Elevation of Privilege

0x01 线上测试

• 随机选取一台域内机器(只要有机器账号就行/基本无门槛)

• 新增任意普通域用户，设置密码不过期

• 账户差异

• 套娃新增的用户

0x02 其它利用测试

• 新增用户到domain admin: 无权限

• 新增用户都ex 高权限组: 无权限

• 新增时设置TrustedForDelegation: 无权限 来自@daiker

• 时间有限，还有其它测试没做.
• 能提权可能性不大. 因为是继承当前容器的权限(机器账号)
• 不排除其它骚操作秒打域控的组合拳
• 利用可能点:
• 一次进内网：然后新增机器账号/域用户, 下次你家大门常打开(WIFI/VPN/Jumper)等

0x03 思考

• 和之前的机器账号小鸡生小鸡类似，这里也是可以套娃的
• 并且套娃很多
• machine account-->machine account
• machine account-->domain user
• domain user-->machine account
• domain user间接到domain user
• 如果New-ADUser这个动作里，不能完成提权，可能用处和危害没有那么大.

0x04 参考

• AD 一哥们的推特讨论
• p0报告: Exchange: AD Schema Misconfiguration Elevation of Privilege
• Containers and Leaves
• Exchange Server 中的 Active Directory 架构更改修复: ms-Exch-Storage-Group
• ms-Exch-Storage-Group Class
• 扫描是同类型影响/危害的脚本: Find-VulnerableSchemas.ps1@IISResetMe

0x05 申明

• 扫描的脚本打包了下, 公众号回复ex_new_user自取.
• 本人获取的信息/进行的思考/完成的实践，肯定有欠缺或错漏，如有意见和建议可以私聊.
• 公众号红蓝早读取消(被怼了), 换到知识星球和红蓝早读群更新.
• 最后: 加我然后和我撕逼的请圆润的走开