戟星安全实验室
本文约2648字,阅读约需7分钟。
前言
邮件钓鱼一直是红蓝对抗中比较普遍的手段 ,伪造发件人身份发送钓鱼邮件,也是一种比较常用的方案,该文章提供的方法在qq邮箱、163邮箱、foxmail软件、coremail邮箱收信均可较完美绕过。
Swaks介绍
Swaks 是由John Jetmore编写和维护的功能强大、灵活、可编写脚本、面向事务的 SMTP 测试工具。同时对于一名信息安全高级工程师来说也是一个不错的利用工具!它通常被用来伪造邮件,进行钓鱼、社工等操作,但是这种也是具有一定风险的,同时在这里提醒广大用户在收到邮件时,不要直接打开邮件,先看看邮件的域名以及头标题等信息是否正确,不然一个贸然的操作有时候将可能导致自己被钓鱼甚至攻击!
Swaks基本用法
swaks--to test.com 测试邮箱的连通性;--from test.com //发件人邮箱;--ehlo qq.com //伪造邮件ehlo头,即是发件人邮箱的域名。提供身份认证--body "hello" //引号中的内容即为邮件正文;--header "Subject:hello" //邮件头信息,subject为邮件标题--data email.eml //将正常源邮件的内容保存成eml文件,再作为正常邮件发送;
SPF验证
SPF是Sender Policy Framework 的缩写,一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。例如:当邮件服务器收到自称发件人是[email protected]的邮件,那么到底它是不是真的gmail.com的邮件服务器发过来的呢,我们可以查询gmail.com的SPF记录,以此防止别人伪造你来发邮件。
原理:
SPF 记录实际上是服务器的一个 DNS 记录,原理其实很简单:
假设邮件服务器收到了一封邮件,来自主机的IP 是173.194.72.103,并且声称发件人为[email protected]。为了确认发件人不是伪造的,邮件服务器会去查询example.com的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为173.194.72.103的主机发送邮件,则服务器就认为这封邮件是合法的;如果不允许,则通常会退信,或将其标记为垃圾/仿冒邮件。
因为不怀好心的人虽然可以「声称」他的邮件来自example.com,但是他却无权操作example.com的 DNS 记录;同时他也无法伪造自己的 IP 地址。因此 SPF 是很有效的,当前基本上所有的邮件服务提供商(例如 Gmail、QQ 邮箱等)都会验证它。
SPF绕过
-
一.制作eml邮件
利用邮件编辑器foxmail等编辑好一封待发送的eml邮件,文本编辑器打开。
编辑邮件头部分
X-FOXMAIL-CODE: foxmail_code: //可以删掉From: //发件人To: //收件人,如果群发邮件可以留空Subject: =?utf-8?B?5Zu95bqG5pyf6Ze05ZGY5bel5Ye66KGM55Sz5oql?= //邮件标题Mime-Version: 1.0Content-Type: multipart/alternative;boundary="----=_NextPart_63370664_03B2AFD0_3184C21F"Content-Transfer-Encoding: 8BitDate: Fri, 30 Sep 2022 23:08:20 +0800 //必须删掉X-Priority: 3Message-ID: <[email protected]>X-QQ-MIME: TCMime 1.0 by TencentX-Mailer: Foxmail_for_Mac 1.5.6.94567This is a multi-part message in MIME format.------=_NextPart_63370664_03B2AFD0_3184C21FContent-Type: text/plain;charset="utf-8"Content-Transfer-Encoding: base64
编辑好的邮件头
From: "qq邮箱管理员"<[email protected]>To:Subject: =?utf-8?B?5Zu95bqG5pyf6Ze05ZGY5bel5Ye66KGM55Sz5oql?=Mime-Version: 1.0Content-Type: multipart/alternative;boundary="----=_NextPart_63370664_03B2AFD0_3184C21F"Content-Transfer-Encoding: 8BitX-Priority: 3X-QQ-MIME: TCMime 1.0 by TencentX-Mailer: Foxmail_for_Mac 1.5.6.94567This is a multi-part message in MIME format.
-
二.开启163邮箱smtp服务
在账号与邮箱中心选择POP3/SMTP/IMAP
在POP3/SMTP/IMAP窗口开启服务下选择POP3/SMTP服务,旁边的开启。
在账号安全提示窗口根据提示操作,点继续开启。
-
三.发送邮件两种方式 根据收信软件判断
1.qq邮箱
./swaks --to 收件人邮箱 -f 个人163邮箱 --data 编辑好的eml --server smtp.163.com -p 25 -au 个人163邮箱 -ap smtp密码
2.foxmail
先利用swaks发送的163邮箱,再利用163邮箱原信转发功能
项目实战
往期回顾
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 || 点击下方名片 关注我们 #
原文始发于微信公众号(戟星安全实验室):【干货分享】Swaks+163邮箱邮件伪造
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论