Question

查看 Exchange 服务器的隶属关系，发现其属于： Exchange Security Groups

再跟进 CN=Exchange Trusted Subsystem,OU=Microsoft Exchange Security Groups,DC=pentest,DC=lab

该组又隶属于 CN=Exchange Windows Permissions,OU=Microsoft Exchange Security Groups,DC=pentest,DC=lab ，该组包含通过管理服务代表用户运行 Exchange cmdlet 的 Exchange 服务器。其成员有权读取和修改所有 Windows 帐户和组。

简单来说，就是 Exchange 服务器有权限修改域内任意用户的 ACL。

因此，可以利用 Exchange 修改用户 ACL，然后在利用 Dcsync 来 dump hash。