Архив метки: OWA

Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access

В тестировании на проникновение, особенно при проверке криптостойкости паролей и социальной инженерии, часто требуется произвести перебор электронных почтовых ящиков пользователей и попытаться подобрать к ним пароли (или в дальнейшем использовать полученные ящики для социальной инженерии). Иногда удаётся успешно произвести перебор и брутфорс по протоколу SMTP, но как правило, SMTP сервер блокирует подобные действия (Как произвести перебор учетных записей через SMTP — описывается в статье Перебор почтовых адресов). Если в качестве почтового сервера используется Microsoft Exchange, то можно попробовать перебор и брутфорс через Web интерфейс почты. Если имя учетной записи такое же, как и имя почты, а как правило так и есть, то мы сможем провести перебор, если они различаются (что бывает крайне редко) то можно будет либо перечислить только имена пользователей, либо провести перебор паролей для известных имен пользователей.
Для перебора и брутфорса нам потребуется Metasploit Framework и 2 словаря.

Словарь с паролями (pass.txt):

Парольный словарь можно взять готовый или составить самостоятельно. Вообще составление словаря это довольно творческое дело.
Читать далее Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access

Nginx, как frontend для нескольких серверов

Nginx — это легкий и быстрый сервер HTTP-сервер, а так же обратный прокси-сервер и почтовый прокси-сервер.
Он гораздо меньше нагружает систему, чем Apache, а так же позволяет проксировать через себя других Web сервера.

Для чего он может быть полезен?
В качестве кэширующего сервера для других Web серверов.
Для агреггации нескольких серверов на одном доменном имени (в зависимости от адреса перехода).

Рассмотрим конфигурацию, когда у нас есть основной сайт на Web сервере Apache, а так же вторичный сервер на базе IIS, на котором работает Web интерфейс Outlook (OWA).

Принципиальная схема сети

nginx_1 Читать далее Nginx, как frontend для нескольких серверов