lync
enumarate users
https://github.com/nyxgeek/lyncsmash
[10:06:03 PM] enumeration: Dieser Mechanismus funktioniert generell gegen IIS-gehostete Anwendungen, welche eine NTLM-Anmeldung aktiv haben. Diese Informationen sind fester Teil des Protokolls. Der Mechanismus ist hier relativ gut dokumentiert (http://davenport.sourceforge.net/ntlm.html). Anfällig sind somit by Design alle damit betriebenen Anwendungen. Beispielsweise Microsoft Exchange EWS API (nmap -p443 --script http-ntlm-info --script-args http-ntlm-info.root=/ews/exchange.asmx 217.111.62.147), aber auch beispielsweise Sharepoint (nmap -p443 --script http-ntlm-info --script-args http-ntlm-info.root=/ 217.111.62.147), sofern entsprechend konfiguriert.
sharepoint - webapp - intranet - sharepoint - teams - https://app.binaryedge.io/services/query?query=MicrosoftSharePointTeamServices&page=1 - ntlm: https://app.binaryedge.io/services/query?query=%22WWW-Authenticate:%20NTLM%22&page=1
owa - exchange - owa - autodiscover
lync/skype
refs
- https://github.com/GDSSecurity/Nmap-Scripts/tree/master/NTLM-Info-Disclosure
workflow
step1: convetr top1mio -list,e xtract only domains
step2: make a list of lync(owa/sharepoint - subdomains
./add_hostname.py top-1m.list
step3: let zdns run with that list
time cat top-1m.list.out | zdns A > top1mout.json
step4: extract hostnames and ips from resultset
./extracte-ips-from-zdns-res.py top1mout.json
step5 sort by domain
step6 extract DE-domains and do some sorting
Fragen? Kontakt: info@zero.bs